高度化するサイバー攻撃に備えるのは、企業にとって必要不可欠な施策となっています。数あるセキュリティ対策の中でも、テレワークやクラウドサービスの普及により、注目を集めているのが多要素認証(MFA)です。
多要素認証を導入すれば、セキュリティレベルが高まり、サイバー攻撃の被害を受ける可能性も低くなるでしょう。LogMeInの調査によると、2018年時点で57%の企業が多要素認証を導入しており、今後もさらに拡大すると予想されています。
多要素認証の導入を成功させるためには、まずは多要素認証に関する理解を深めなければいけません。そこで本記事では、多要素認証と二段認証との違いや身近な例、導入時の注意点を解説します。
多要素認証(MFA:Multi-Factor Authentication)とは、知識情報・所持情報・生体情報の中から、2つ以上の要素を用いる認証方法です。例えば、アカウントにログインするとき、パスワードと携帯電話に送信されたセキュリティコードの入力が求められます。
ハッキング技術が高度化した現代では、パスワードのみの認証は脆弱性が極めて高いです。多要素認証を導入すれば、パスワードが盗まれたとしても、攻撃者は他の要素の特定が必要なため、被害に遭う可能性が低くなります。
在宅勤務の広まりに伴い、多くの企業がクラウドサービスを利用し始めました。それに伴い、使用者のデータを暗号化して脅迫するランサムウェアなどのサイバー攻撃が増加したのです。
2020年に起きたSolarWinds社の製品を狙ったサイバー事件では、約17,000社がマルウェアの被害を受けました。史上最悪とまで呼ばれるサイバー事件が起きた原因は、パスワードのみの非常に弱い認証法だったのです。
Solar Winds事件がきっかけとなり、世界的に多要素認証を導入する流れが生まれました。
クラウドサービスは、在宅勤務における社員の生産性やコラボレーションを維持する一方、大量の情報資産を一か所に保管しているというリスクもあります。認証情報が乗っ取られた場合、攻撃者は容易に情報にアクセスできるのです。
多要素認証で用いられる要素は、知識情報・所持情報・生体情報の3つです。以下では、それぞれの要素の特徴について紹介します。
知識情報とは、パスワードやPINコードなどユーザーが知っている情報のことです。多くのサービスが知識情報を認証に用いており、シンプルながらもセキュリティを高められます。一方、困難なパスワード暗記や漏えいリスクなどのデメリットもあります。
所持情報とは、ユーザーが持っているものに関する情報です。SMSやアプリ、トークンなどが挙げられます。物理的に存在するものを利用しているため、破損や盗難のリスクがあります。しかし、紛失や盗難などの問題発生時には迅速に対応できるため、被害を最小限に抑えられます。
生体認証はユーザーの身体的情報です。指紋や虹彩、位置情報などが挙げられます。身体的特徴を利用するため、認証に必要な情報やものを紛失するリスクがなくなります。 生体情報を組み合わせれば、セキュリティは極めて高くなるでしょう。
多要素認証とよく混同されるのが、「二要素認証」と「二段階認証」です。以下の表のように、各々の認証方法で、認証に用いる要素の数や認証を行う段階などが異なります。ここでは、多要素認証とそれ以外の認証方法でどのような違いがあるのかをさらに詳しくご紹介します。
| 認証に用いる要素の数 | 認証の段階数 | 例 |
多要素認証 | 2つ以上 | 問わない | パスワード(知識)+SMS(所持)+指紋(生体) |
二要素認証 | 2つ | 問わない | パスワード(知識)+SMS(所持) |
二段階認証 | 1つ | 2段階 | パスワード(知識)+秘密の質問(知識) |
二要素認証(2FA : 2Factor Authentication)とは、その名の通り2つの要素を使った認証方法であり、多要素認証の一部です。多要素認証との違いは、ログインに必要な要素の数です。
二要素認証は「知識要素×所持要素」のように2つの要素だけを組み合わせます。一方、多要素認証は「知識要素×所持要素×生体要素」のように2つ以上の要素を組み合わせた認証方法です。
二段階認証とは、「パスワード」を入力したあとに「秘密の質問」を入力するなどのように段階を2つ踏んだ認証方法です。二段階認証の「認証方法は2段階」ですが、「用いる要素は知識情報の1つのみ」という特徴があります。「段階数が決まっていない」、かつ「2つ以上の要素を用いる」多要素認証とは異なります。
多要素認証と二段階認証の違いは、オンライン銀行へのログインと銀行ATMを比較するとわかりやすいでしょう。オンライン銀行のログイン時には、パスワードで認証したあと、秘密の質問などで認証を行います。パスワードと秘密の質問はどちらも知識情報なので、これは「二段階認証」です。
一方、銀行ATMを利用する際は、ATMカードで認証してからパスワード入力を行います。これは所持要素と知識要素の組み合わせなので、「多要素認証(二要素認証)」となるのです。
世界中の企業が続々と多要素認証を導入していますが、具体的にどのようなメリットがあるのでしょうか。
ハッキングの原因の多くは、パスワードの窃取や脆弱なパスワードの使用によるものです。パスワードのみのセキュリティ対策では、高度化するサイバー攻撃が防げなくなりつつあります。
複数の要素を組み合わせる多要素認証を導入すれば、認証のセキュリティを上げられます。マイクロソフト社の見解によれば、「多要素認証はアカウントハッキングの99.9%をブロックできるほど強力」とのことです。
オフィスや自宅、カフェなどの様々な場所で働くスタイルが広まっています。しかし、社外のネットワークには悪意のあるプログラムが潜んでいることがあり、侵入を許せば企業に大きな損失をもたらすリスクさえあります。
アダプティブ多要素認証は、ユーザーの場所やデバイス、接続ネットワークを判断し、必要に応じて多要素認証を実施します。 アダプティブ多要素認証なら、多様化するワークプレイスにも柔軟に対応し、セキュアなリモートワーク(テレワーク)環境の構築が行えるのです。
いくつものサービスを利用するユーザーにとって、複数のパスワードを管理するのは大きな負担です。結果的に、脆弱なパスワードの使いまわしが行われることも珍しくありません。
多要素認証なら、1つのパスワードと生体認証やスマートフォン認証などの組み合わせを行えるため、ユーザーは複数のパスワードを管理することなく、セキュリティを高められます。
以下の表では、代表的なクラウドサービスが提供している多要素認証の方法をまとめています。どのサービスも、パスワードを軸とした2要素認証を導入しています。
サービス名 | 組み合わせ要素 |
パスワード+携帯電話 | |
Slack | パスワード+携帯電話 |
Microsoft365(Azure AD) | SMS、電話、生体認証、ワンタイムパスコードなど |
Dropbox | パスワード+6桁のセキュリティコード |
認証要素数を増やすほど、セキュリティは高まります。しかし、ユーザーの利便性が下がったり、ユーザーがアカウントから締め出されたりするデメリットもあるのです。
各社の動向を踏まえると、スムーズに多要素認証を導入するためには、まずはパスワードとスマートフォンを組み合わせた2要素認証が有効とする考え方が主流なようです。
多要素認証の3要素(知識情報・所持情報・生体情報)には、主に4つのメソッド(認証方式)があります。知識情報ではパスワードや秘密の質問が一般的ですが、所持情報は物理デバイスやSMSなど様々な認証方式が普及しています。自社で多要素認証を導入する際は、各メソッドの特徴を理解して使いやすいものを選びましょう。以下では、主なメソッドを紹介します。
物理デバイスタイプとは、ワンタイムパスカードやICカードなどを利用した認証方法です。導入と運用コストこそかかりますが、使用方法は簡単なため、社内に浸透させやすいです。 しかし、デバイスの紛失や盗難リスクがあります。また導入前には、物理デバイス紛失時の無効化と再発行手順を決めておく必要があります。
パソコンにUSBを接続すると、ログインできる認証方法です。パスワードとUSBキーだけで多要素認証を実施できるため、ユーザーの利便性が向上します。 また、低コストで導入でき、運用方法も簡単です。一方で、USBキーの紛失には気をつける必要があるでしょう。
スマートフォンにアプリをダウンロードすると、指紋認証や静脈認証などの生体認証が可能となります。アプリをダウンロードするだけなので、導入コストは抑えられます。 ただし、ユーザーに初期設定と利用方法を教える工数が発生するかもしれません。
ユーザーのスマートフォンに、SMSやボイスコールを発信して認証を実施するメソッドです。導入と教育コストを抑えられます。しかし、サーバーからSMSやボイスコールを発信するため、認証のたびに発信費用がかかります。長期的な視点で見れば、運用コストは割高になるでしょう。
サイバー攻撃の高度化が進んでいる事実を踏まえると、早いうちに一つの要素だけで認証を行う方式から多要素認証に切り替えるべきです。しかし、十分に検討することなく多要素認証を導入しても、期待していた効果は得られないでしょう。以下では、多要素認証の導入における注意点を紹介します。
導入に踏み切れない企業の中には、外付けハードウェアが必要という誤解やユーザーの利便性を損なうのではという懸念などがあります。しかし、サイバー攻撃にあう可能性を踏まえると、できるだけ早期に多要素認証へ切り替えるのが賢明でしょう。
クラウドサービスのベンダーは、次々に多要素認証サービスを導入しています。現在はパスワードとスマートフォンを組み合わせた多要素認証が普及しており、導入から運用まで比較的スムーズに行えます。なお、多要素認証は段階的に導入することも可能です。
多要素認証で強化できるのは、セキュリティ全体の一部にしか過ぎません。高度化するサイバー攻撃に備えるためには、ネットワーク全体を俯瞰し、複数のセキュリティ対策を併用する必要があります。
今一度、社内のセキュリティ対策を見直し、必要に応じてセキュリティ対策の追加や削除を行ってください。総合的に対策することで、よりセキュアな環境を構築できます。
クラウドサービスの導入やオンラインサービスの提供をしている企業にとって、多要素認証はセキュリティを高める有効な対策です。
万が一、従業員のデバイスがハッキングされて情報資産を奪われたり、自社ユーザーがハッキングされたりすると、企業は多大な損失を被ってしまいます。従業員と顧客を守るためにも、本記事でご紹介した内容を参考に、多要素認証の導入を検討しましょう。