昨今、企業のシステムや個人のアカウントを狙ったサイバー攻撃は巧妙化しており、パスワードの使い回しや単純な推測による不正アクセスが後を絶ちません。第33回で解説した「認証(本人確認)」の信頼性を担保するために、今や欠かせないのが「多要素認証(MFA:Multi-Factor Authentication)」です。
今回は、なぜ従来のID・パスワードによる認証だけでは不十分なのか、多要素認証を構成する「3つの要素」の詳細と、二段階認証との決定的な違いについて詳しく解説します。
パスワード認証(単一要素)の限界
古くから使われてきた「IDとパスワード」による認証は、知識要素(本人だけが知っていること)だけに頼ったものです。しかし、この方式には以下のリスクが常に付きまといます。
- リスト型攻撃: 他のサービスから漏洩したID・パスワードのリストを使って、自動的にログインを試行される。
- ブルートフォース攻撃(総当たり): 短いパスワードや推測されやすいパスワードが解析される。
- フィッシング: 巧妙に作られた偽サイトでパスワードを入力させられ、盗み取られる。
これらはすべて「知っていること」さえ盗めば突破できてしまうという脆弱性に起因しています。
多要素認証を構成する「3つの要素」
多要素認証とは、以下の独立した3つの要素のうち、2つ以上を組み合わせて認証を行うことを指します。
① 知識要素(Something you know)
本人だけが「知っている」情報です。
- 例: パスワード、PINコード(暗証番号)、秘密の質問、パターンロックなど。
- 特徴: 導入コストが低い一方で、忘れるリスクや盗まれるリスクがあります。
② 所持要素(Something you have)
本人だけが「持っている」物理的なデバイスやトークンです。
- 例: スマートフォンへのSMS通知、認証用アプリ(Google Authenticatorなど)、ハードウェアトークン、ICカード。
- 特徴: 物理的に盗まれない限り安全ですが、紛失や故障時の対応が必要になります。
③ 生体要素(Something you are)
本人「自身」の特徴です。
- 例: 指紋、顔認証、虹彩(目の模様)、静脈パターン。
- 特徴: 忘れることも盗まれる(複製される)ことも極めて難しく、利便性とセキュリティを両立できます。
「二段階認証」と「二要素認証」は別物?
よく混同される言葉に「二段階認証(2SV)」がありますが、これと「二要素認証(2FA)」は厳密には異なります。
- 二要素認証(2FA): 異なる「要素」を組み合わせること(例:パスワード[知識] + 指紋[生体])。
- 二段階認証(2SV): 認証の「ステップ」が2つあること。
- もし「パスワード」を入力した後に「秘密の質問」を求める場合、どちらも知識要素なので「二段階認証」ではありますが「二要素認証」には該当しません。
セキュリティの強固さでは、異なる要素を組み合わせる二要素(多要素)認証の方が圧倒的に優れています。
最新のトレンド:パスキー(Passkey)とFIDO2
多要素認証の進化形として注目されているのが、パスワードそのものを使わない「パスキー(FIDO2)」です。
これは、デバイス(所持要素)と生体認証(生体要素)を組み合わせることで、ユーザーにパスワードを入力させることなく、フィッシング耐性の極めて高い強固な認証を実現します。第34回で解説した「ソーシャルログイン」の基盤としても、今後ますます採用が広がっていくことが予想されます。
まとめ
多要素認証は、万が一パスワードが漏洩しても、第2、第3の壁が不正アクセスを食い止めるための最後の砦となります。
- 知識・所持・生体の3要素から2つ以上を組み合わせる。
- 二段階認証が必ずしも二要素であるとは限らない点に注意。
- SSOやクラウド利用においては、多要素認証の設定は必須条件。
次回の第37回では、ネットワークの入り口を管理する「認証プロトコル(RADIUS/LDAP)」を解説し、組織全体の認証基盤がどのように構築されているかを紐解いていきます。
コメント