二要素認証と多要素認証の違いとは？導入のメリットと注意点を解説

「二要素認証（2FA）」・「多要素認証（MFA）」は、サイバー攻撃が増加する中で重要性が高まるセキュリティ対策です。本記事では、二要素認証・多要素認証の違いの仕組みや違い、導入するメリットと注意点を具体例を交えて解説。アメリカ国立標準技術研究所（NIST）の認証に関するガイドラインを紹介しながら、企業がこうした認証方式をどのような場合に用いるべきかを提案します。

二要素認証とは

インターネットにおける「認証」とは、たとえば、あるWebサービス等を利用しようとしているユーザが、本当にその本人であるか、その正しさを確認するプロセスや行為のことです。「二要素認証」とは、セキュリティ水準を高めるために、ふたつの要素を用いて認証を行うことです。二要素認証では、IDとパスワードだけでなく、トークンや指紋など２つの要素を用いて本人確認を行います。

「KNOW」「HAVE」「ARE」、認証に用いる3要素とは

「要素」とは、認証に用いる情報等のことです。たとえば、あるWebサービスの利用時、IDとパスワードの入力が求められるのであれば、それは「IDを持つ人がこの人であるかどうかを確認するためにパスワードという要素が用いられている」ということになります。

要素には、パスワードのような「ユーザが知っていること（something you know）」、部屋のカギのような「ユーザが所持しているもの（something you have）」、指紋や虹彩（眼球の瞳の周辺にある膜）のような「ユーザ自身であるもの（something you are）」などがあり、このうちどれかふたつの要素を用いて認証を行うことを二要素認証と呼びます。

二要素認証を行えば、従来のようなパスワードだけを用いた認証よりも、セキュリティ水準を高めることができます。

二要素認証と多要素認証の違い

二要素認証は、IDやパスワードに加えて、もう1つの要素（例: SMS認証やOTP）を追加することでセキュリティを強化します。一方、多要素認証は、これに加えて、生体認証やセキュリティキーなど複数の要素を組み合わせ、さらに高度な保護を提供します。多要素認証は特に、フィッシング攻撃やリプレイ攻撃への耐性が高い点が特徴です。

「多要素認証」とは、「ユーザが知っていること（something you know）」「ユーザが所持しているもの（something you have）」「ユーザ自身であるもの（something you are）」のうち、ふたつ以上の要素を用いて認証を行うことで、二要素認証は多要素認証に含まれます。

なお、多要素認証は英語では「MFA（Multi-Factor Authentication）」と表記され、2つの要素を用いる場合に「Two-Factor Authentication」という呼称が使われることがあります。

また、過去に日本国内で普及していた認証方法に「二段階認証」があります。これは、パスワード入力の後に「秘密の質問」などを設けて、ユーザが知っていることを用いてもう一回認証を行い、セキュリティを高めようとするものです。

よくある「秘密の質問」は、セキュリティ的にはどうなのか

秘密の質問は、ユーザの本人確認を行うための手段として広く使用されてきましたが、そのセキュリティに関しては多くの懸念が存在します。特に、秘密の質問の答えが容易に推測可能である場合、セキュリティリスクが高まります。

ユーザの認証手段に常時使われることは望ましくない、というのが多くの専門家の認識となっており、多要素認証が利用できない場合の非常代替手段として、またはアカウントの回復に用いる認証の一部として、限定的に用いられることが望ましいとされています。

最近では、多くの企業が秘密の質問の使用を廃止し、より安全な認証方法に移行しています。
例えば、AWSやYahoo! JAPANなどのサービスでは、秘密の質問を廃止し、他の認証手段を導入しています。

多要素認証の場合、秘密の質問だけに依存せず、他の認証手段（例：SMS認証やアプリによる認証）を併用することで、セキュリティを向上させることができます。

基準となるNISTのガイドライン

アメリカ国立標準技術研究所（NIST）が公開しているガイドライン「SP 800-63」（最新版は2017年公開の第三版「SP 800-63-3」）は、オンラインで行われる認証に関して最も参照されるドキュメントのひとつです。

同書は、NISTが考える「電子認証はこうあるべき」を記載したもので、「SP 800-63A」「SP 800-63B」「SP 800-63C」から構成されています。

SP 800-63Aでは認証やIDの管理全般について記述し、SP 800-63Bはトークン等の認証器の仕様として「AAL1」「AAL2」「AAL3」の三種類を定め、SP 800-63Cではフェデレーション認証について記述しています。

日本の経済産業省の規格も「SP 800-63-3」を参照して作られています。

LINE、Google、Facebook、Slack ～二要素認証・多要素認証を使用した具体例

すでに、LINEやGoogle、Facebook、LinkedIn、Slackなどの大手ITサービスでは、二要素認証・多要素認証が利用されています。スマートフォンやメールアドレス宛にパスコードを送る、「Authenticator」と呼ばれる認証用アプリにパスコードなどを表示させるなど、方法もさまざまです。

以前「ブルートフォース攻撃」に関する記事で解説したとおり、サイバー攻撃の激化・高度化にともなって、パスワードだけで認証する時代はもう終わりを迎えています。今後、二要素認証・多要素認証は上記に挙げた大規模なサービスにとどまらず、企業内でも積極的に活用されていくことでしょう。では、どんな場面でこれを用いればいいのでしょうか。

二要素認証と多要素認証の導入メリット

SQAT.jpでは、「セキュリティのレベルが異なる領域間でのアクセスや通信」に対して、二要素認証・多要素認証を使うことをおすすめしています。

具体的な例を挙げると、「クラウドサービスを利用するために、社外のクラウドサービスのアカウントに社内からアクセスするとき」、そして、「テレワーク等の実施のために、社外からイントラネットなど社内にアクセスするとき」のふたつです。

特に、社外からイントラネットなど社内にアクセスするときは、トークンを使った多要素認証を用いたVPN接続をおすすめします。

なお、SNSやメールサービスなどのSaaSで、ユーザ本人のアクセスであることを確認する必要性が高いサービスなどでも、多要素認証が用いられることが多いといえます。社内からこうしたサービスにアクセスしている場合、当該サービスが多要素認証を適用しているか、適用できるような設定になっているかも確認してみてはどうでしょう。

二要素認証・多要素認証の注意点と今後の展望

SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、主要クラウド（IaaS）を対象としたセキュリティ診断サービスも提供していますが、診断の結果リスクを指摘される事項の大半が、認証に関わる問題です。クラウドサービスを、つい「オンプレミス環境の延長」あるいは「オンプレミス環境と同じ」と考えてしまうことで、誤った設定がなされてしまうことがあるようです。詳細は、「診断結果にみるクラウドセキュリティの今」で詳しく解説していますので、ぜひご覧ください。

まとめ

二要素認証とは、「KNOW」「HAVE」「ARE」という３つの認証要素の中の２つを用いて認証を行うことです。
二要素認証は多要素認証に含まれます。
二要素認証・多要素認証を行うことでセキュリティ強度を高めることができます。LINE、Google、Facebookなど多くのサービスでこの認証方式が使われています。
NISTが公開したガイドライン「SP 800-63-3」は認証に関して世界で最も参照されるドキュメントのひとつです。
セキュリティのレベルが異なる領域間でのアクセスや通信には、二要素認証・多要素認証を使うことをおすすめします。
クラウドサービスを利用する場合は、認証関係の設定ミスに注意しましょう。

ウェビナー開催のお知らせ

2025年1月29日（水）13:00～14:00
「サイバー攻撃から企業を守る！ソースコード診断が実現する“安全な開発”」

2025年2月5日（水）12:50～14:00
【好評アンコール配信】
「中小企業に迫るランサムウェア!サプライチェーン攻撃とは」

2025年2月12日（水）14:00～15:00
「ランサムウェア攻撃の脅威～感染リスクを可視化する防御策の実践を紹介～」

最新情報はこちら

2022年9月20日2024年3月13日

認証技術は今

SQAT® Security Report 2021-2022年秋冬号

※本記事は、「SQAT^®Security Report 2021-2022年秋冬号」の記事、
「認証技術は今」の一部抜粋になります。

認証とは、主に、特定の場所への入場や特定のシステムの利用などにあたって、「その人物が確かに入場や利用を許可された当人であるか」確認することを指す。認証技術は、様々なシステムにおいてユーザの真正性を確認するためのものであり、セキュリティの要といえる。本稿では、Webサービスおよびスマートフォン（以下、スマホ）アプリにおけるユーザ認証技術について、昨今の実情を今一度整理し、セキュアなシステム構築のためにどのような認証機構が求められているのかを探る。

認証をとりまくリスク

サイバー攻撃のうち、認証の仕組みに不備があることにより発生するのが、アカウントの乗っ取りである。最近報告された国内のインシデントには以下のような例がある。

報告時期	インシデント	影響
2021年6月	大学研究員のメールアカウントの不正利用*1	海外の不特定多数の宛先に迷惑メールが送信された。
2021年2月	メッセージングアプリアカウントへの不正アクセス*2	3,000を超える認証情報が流出した恐れ。
2020年9月	電子決済サービス不正口座利用*3	多数の銀行口座から不正引き出し。金融庁が対応要請を出した。

パスワード認証の限界

ID・パスワードによるログインを試行する攻撃手法は複数あるが、パスワードリスト攻撃の一種で、ボットにより大量の不正ログインを試みるCredential Abuseは、1日に億単位で実行されている。このうち特に金銭被害に直結しがちな情報を保持する金融サービス業では、1日あたり数千万件との報告もある（下・折れ線グラフ）。

Credential Abuseの試行数の折れ線グラフ — 出典：Akamai Technologies, Inc.「SOTI インターネットの現状/セキュリティ」レポート第２号『金融業界に対するフィッシング攻撃』
https://www.akamai.com/jp/ja/multimedia/documents/state-of-the-internet/soti-security-phishing-for-finance-report-2021.pdf

しかしながら、どれほどサービス提供側が警告を発したとしても、ユーザは複数のサービスで同じパスワードを使いがちだ。実際、複雑なパスワードを設定するのも、複数の異なるパスワードを管理するのも面倒である。ヒトの記憶に頼るパスワード認証という方法の宿命と言えるだろう。

認証の3要素

ここで、そもそも認証にはどのような要素があるか、おさらいしたい。認証の要素になり得るのは、その本人だけに属するモノ・コトだ。次のとおり、（…続き）

本記事はここまでになります。

この記事の続きでは、単要素認証（パスワードのみの認証など）と多要素認証（パスワード＋スマホで受信した認証コードなど）それぞれのリスクと認証情報漏洩を防ぐための暗号化技術をご紹介し、安全な認証実現に対して企業がどのように取り組むべきかということについて解説しています。ぜひご一読ください。

※参考（続き）
contents
3.主な認証技術
4.パスワード認証以外なら安全か
5.リスクをできるだけ回避する多要素認証
6.情報漏洩対策のための暗号化
7.「高機能暗号技術」による保護
8.安全な認証実現のために
9.まずは現状の認証が安全か確認することから

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。

Security Report TOPに戻る
TOP-更新情報に戻る

2020年1月23日2024年2月26日

認証機構の見直しを

SQAT^® 情報セキュリティ瓦版　2019年7月号

※図表番号は発表当時の媒体の番号となっています。

増加するリスト型アカウントハッキング攻撃への対策として

近年、Webサービスの広がりとともにリスト型アカウントハッキング攻撃が増加しています。IDとパスワードによる単要素認証はWebサービスのログインにおける認証機構として主流であり続けている一方で、リスト型アカウントハッキング攻撃（以下リスト型攻撃）の標的となっています。複数の被害事例があり、特に2018年以降は通販サイトやポイントの利用が可能なサイトでの被害が目立っています。

リスト型攻撃への対策と現状

総務省は平成25年12月にリスト型攻撃への注意喚起を行い、サイト運営者側に対策を例示しています。被害を受けたサイトの中にもこの対策を実行しているサイトはいくつかあるものの、被害は絶えることがありません。

その原因として次の3点が考えられるでしょう。

①リスト型攻撃はスキルが低くても実行可能
②リスト型攻撃のもととなる認証情報リストの流出
③ユーザの過半数が複数のWebサービスの認証機構に同じパスワードを使い回している現状

ここで注目すべきは③です。情報処理推進機構（IPA）の調査*4によればパソコン利用者の51.3%、モバイル端末利用者の60.4%がパスワードの使い回しをしていると回答しています。総務省が例示している対策の中でも注意喚起の実施が掲げられているにも関わらず、半数以上がパスワードを使い回しており、ユーザへの抑止力としてあまり機能していないことからも、パスワードの使い回しを自制すること自体が困難であると考えられます。　

今できる対策と認証機構の見直し

ユーザによるパスワードの使い回しの抑止が困難であることや、すでに大量のパスワードが流出していることを踏まえると、表6の「攻撃を予防する対策」の中で最も有効と考えられる対策はやはり多要素認証*2の導入でしょう。

多要素認証は、以前にも本誌で紹介した「FIDO2」が普及しつつあることで、新たな選択肢が増えてきました。FIDO2はユーザ視点ではスマートフォンなどでの生体認証を行うというステップで認証が完了するように見えることから、利便性が高いと考えられます。他方、システム側から見た場合、公開鍵認証と生体認証などの多要素による認証がセットになっていることから、ユーザの設定による認証強度の低下に影響されにくい方式であることは、サービスを提供する側からみて大きな利点といえます。すでにOSではWindows 10、Androidでのサポート、ブラウザではGoogle Chrome、Firefox、Microsoft Edge、Safariでのサポートが始まっていることも魅力でしょう。一方でWebアプリケーションにおけるAPIの規格に相当するWebAuthnは第二段階の勧告のドラフトがリリースされた段階となっているため、一部未確定の仕様がある点には留意する必要があります。

さらに、多要素認証を提供しているIDサービス事業者との連携など、自社でパスワードを管理しないサービスも普及しています。IDサービス事業者の主流はSNSのサービス事業者なので、SNSを利用するユーザの利便性が向上する可能性も高く、一部のIDサービス事業者ではFIDO2への対応の実施・予定を公表していることも注目されるところでしょう。一方で、このようなサービスとの連携を選択する場合には、求める要件と提供サービスの合致、サービス品質やセキュリティ対策、運用条件、コストなどの詳細な検討が必須となります。併せて、既存のWebアプリケーションの改修や、外部認証機構と連携するためのAPI開発などの工数、それぞれの品質管理やセキュリティ対策も追加で必要となるため、開発期間やテスト期間をしっかり確保する必要があります。

多要素認証に多くのユーザが移行した後も、単要素の認証機構は一定数残存することでしょう。単要素認証として一般的なID・パスワードによる認証では、パスワードのパスフレーズ化、流出パスワードや汎用パスワードの排除機構の導入、より高度な複雑性を要求するパスワード認証機構を用意する、といった対応が必要です。しかし過去の事例において流出したパスワードがリスト型攻撃に利用されたことを踏まえると、パスフレーズ化を進めた先にも再びリスト型攻撃が繰り返される可能性があります。また、将来的にユーザに対して多要素認証やIDサービス事業者との連携への移行を促すことも必要になるという前提での暫定的な対応となる可能性も否定できません。

認証機構そのものの問題ではありませんが、二次的なリスクとして多くのサイトで休眠アカウントの廃止が行われていないという問題もあります。休眠アカウントを廃止することによる登録ユーザ数の減少や廃止対応にかかる工数などが問題となっているのものと推測できますが、アクティブユーザとして掘り起こす活動を行ったうえで、それでもなお残存するアカウントをどこまで抱え続けるのか、リスクがどの程度あるのか、といった検討もされるべきではないでしょうか。

リスト型攻撃の対策に挙げられた項目の多くは、過去5年ほどの間大きく変化していません。しかし、対策項目に対して適用できる技術やサービスは大きく変化しつつあり、今まで現実味がなかった対策項目も実現に向けて検討できる段階にあります。今こそ積極的に認証機構を見直すチャンスといえるでしょう。