アメリカに拠点を構えるフォーティネットの調査によると、2021年におけるMFAの導入は全体の23%でしたが、2023年には52%へと増加しています。本記事では、MFAが導入されるようになった背景やメリット、デメリットなどを解説します。
参照元:https://www.fortinet.com/jp/blog/industry-trends/zero-trust-report-key-takeaways
MFA(多要素認証)とは?
MFAとは、Multi-Factor Authenticationの略であり、日本語では多要素認証と訳されます。クラウドサービスやシステム、アプリケーションなどへのログイン時に、複数の要素を用いる認証方式です。
例えば、パスワードの入力と指紋認証、電話番号の入力とワンタイムパスワードを組みあわせたログイン方法が該当します。ほかにも、パスワードと乱数表、電話番号と静脈認証などの組みあわせがあります。
MFAと二段階認証の違い
MFAと似た認証方法に二段階認証が挙げられます。二段階認証は、1つの要素を用いて認証を2回行う方法です。例えば、IDとパスワードを入力したあとにメールなどでコードを受け取り、認証へ進むケースが該当します。
二段階認証は、システムやオンラインサービスへのセキュアなログインを実現する仕組みです。IDやパスワードを第三者に知られたとしても、ログインにはパスコードが必要であるため、セキュリティの強化に有効です。
MFAとの大きな違いとして、認証に使用する要素の数が挙げられます。MFAでは2つ以上の要素を認証に用いるのに対し、二段階認証は1つの要素を使用します。
MFAと二要素認証の違い
二要素認証も、多要素認証や二段階認証と混同されがちな認証方式です。二要素認証とは、2つの要素を組みあわせて認証を行う仕組みです。キャッシュカードとパスワード、IDとパスコードなどの組みあわせが該当します。
2つの要素を使用する二要素認証はMFAの一種です。二要素認証はセキュリティを確保しつつ運用負担も軽減できます。認証に用いる要素が2つのみであるため、手間と労力を軽減した上でセキュリティ強化が可能です。
MFAで使われる3つの認証情報
MFAで使用する認証情報は大きく3つに分けられます。知識
情報と所持情報、生体情報の3つです。それぞれの認証情報に該当するのはどのような要素なのかを解説します。
IDとパスワードなどの「知識情報」
知識情報とは、本人のみが知りうる情報です。例えば、IDやパスワード、秘密の質問と回答、PINコードなどが該当します。もっとも広く普及している認証要素であり、認証する際に特別な機器やツールは必要ありません。
単純な仕組みであり、ユーザーは記憶を頼りにシステムやサービスへのログインが可能です。一方、セキュリティを高めるには複雑なパスワードやIDを設定する必要があり、覚えきれない問題が発生します。複雑かつ長いパスワードを設定したとなると、ログインに多大な時間を要します。
知識情報は外部への流出に注意が必要です。他人に知られてしまうと、本人になりすましてログインされるリスクが高まります。長く複雑なパスワードを覚えられないため、紙に書いて保存しているといったケースでは、その紙を紛失しログインパスワードが流出してしまうリスクも否めません。
SMS認証やアプリ認証などの「所持情報」
所持情報とは、本人のみが所持する情報です。例えば、ICカードやキャッシュカード、スマートフォン端末、ハードウェアトークンなどが該当します。
所持情報の特徴は、認証に物理的なモノが必要になる点です。例えば、金融機関のATMでお金をおろす際には、知識情報であるパスワードに加え、所持情報であるキャッシュカードが必要です。特別な設定作業などは必要ないものの、所持している機器やカード類が認証に求められるため、紛失しないよう注意しなくてはなりません。
指紋や顔などの「生体情報」
生体情報とは、本人固有の情報を指します。例えば、本人の指紋や声紋、顔、虹彩、掌紋などが該当します。認証の際には、カメラやマイク、指紋リーダーなど要素に応じた特殊な機器が必要です。
生体情報を用いた認証の特徴は、安全性の高さです。指紋や顔などは本人のみが有する情報であり、他人になりすまされるリスクは高くありません。知識情報や所持情報などとの組みあわせによって、さらなるセキュリティ強化が可能です。生体情報の読み取りは、利便性を高められるように機器が開発されているため、手間がかからないのもメリットです。
ただし、生体情報が悪用されるケースも十分考えられます。例えば、顔認証の場合、本人の顔の高解像度画像を用意することで、認証を突破できる可能性があります。SNSにアップした写真から生体情報を奪われ、不正ログインに使用されるといったことも起こりかねないため注意が必要です。
MFAが導入されるようになった背景
従来、Webサービスやシステムなどへの認証には、IDとパスワードが用いられていました。ただ、IDとパスワードのみの認証方法は安全性がそこまで高くなく、実際に不正ログインの被害も多発しました。
パスワードの使い回し問題も、MFAの導入が進み始めた理由の一つです。複数のWebサービスやシステムを利用している場合、個別にパスワードを設定するとログインが面倒です。1つのパスワードを使いまわすと便利ですが、セキュリティリスクも高まります。実際、使い回していたパスワードを読み取られ、不正アクセスの被害に遭うケースは珍しくありません。
このような背景から、より安全に認証できる方法が求められるようになりました。そこで注目を集めたのがMFAです。二段階認証や二要素認証もセキュリティ強化に有効であるものの、不正アクセスをはじめとしたサイバー攻撃の手口は年々巧妙化しているため、従来の方法では対処が難しくなり、MFAの普及が進み始めました。
MFAを導入するメリット
MFAを導入するメリットは、セキュリティ強化を実現できることです。知識情報や所持情報、生体情報など複数の要素を組みあわせるためセキュリティを強化でき、不正アクセスなどの被害を防げます。
Webサービスやシステム利用者の負担軽減につながるのもメリットです。例えば、知識情報のみを用いる認証方式の場合、利用者がパスワードを記憶しておかなければなりません。複数のパスワードを記憶するとなると利用者の負担は相当です。知識情報ではなく、指紋などの顔認証と、クレジットカードの所持情報の組み合わせで認証を行うMFAなら、パスワード管理の手間を軽減できます。
MFAを導入するデメリット
MFA導入のデメリットは、コストがかかる点です。複数の要素で認証を行う仕組みを構築しなければならず、導入及び運用に相応のコストがかかります。初期費用に加え、月々のランニングコストも発生するため、どの程度の費用が継続的にかかるのか事前のシミュレーションが必須です。
ユーザーの利便性を損なうリスクもあります。複数の要素を用いた認証では、必然的に時間と手間がかかります。迅速にサービスへログインできず、ユーザーがストレスを感じてしまうかもしれません。
認証に用いる要素の数を増やすほど高度なセキュリティ環境を構築できるものの、利便性を損ねる原因になりうるため、シングルサインオンを導入するなどの工夫も必要です。
まとめ
MFAは多要素認証のことであり、二要素認証や二段階認証よりも安全性を高められるメリットがあります。一方、MFAの導入には初期コストやランニングコストが発生する、ユーザーの利便性を損なうおそれがあるなどの懸念もあるため、理解した上で検討を進めなくてはなりません。
