最新セキュリティマネジメント（第58回） 「多要素認証」って何だろう？～企業が知るべきメリットとデメリット

　近年、オンラインバンキングやECサイト（電子商取引サイト）だけでなく、一般の企業でも多要素認証の導入が広がっている。また、公開鍵とデバイスが保有する固有の鍵を組み合わせ、パスワードなしに高いセキュリティレベルを確保するパスキー認証など、新しい認証技術も登場している――。

　では、なぜ今、多要素認証が必要とされるのか。今回は、独立行政法人情報処理推進機構（IPA）の資料なども交えて、その背景や導入方法、運用の注意点を深掘りしていきたい。

多要素認証とは何か？不正ログイン増加の背景と仕組み

多要素認証の定義

　多要素認証とは、2つ以上の異なる要素を使って本人確認を行う仕組みの総称だ。従来のIDとパスワードのみの認証（単一要素認証）と比較して、セキュリティレベルが大幅に向上する。例えば、IDとパスワードによる認証を行った後にスマートフォンアプリで生成されるワンタイムコードの入力を求める方法がある。また、パスキー認証も多要素認証の主要な方式の1つだ。

　なお「2段階認証」という用語もあるが、これは「認証を2回行う」という手順を示す言葉だ。多要素認証とは「異なる種類の要素を組み合わせる」点で区別される。例えば、パスワード入力後にメールで届いた認証コードを入力する方法は2段階認証だが、両方とも「知識情報」に分類され、厳密には多要素認証ではない。

不正ログイン被害の増加という背景

　多要素認証が求められる背景には、不正ログインの被害増加がある。長年、SNSやショッピングサイト、クラウドサービスなどでは、IDとパスワードによる本人確認が採用されてきた。しかし、IDやパスワードが第三者に知られると、不正にログインされて金銭的な被害が発生する場合がある。

　また、インターネット活用の広がりと共に、IDやパスワードを盗み取る攻撃が増加している。身に覚えのない購入履歴が発生したり、SNSに勝手な投稿をされたりする被害も報告されている。さらに、企業が利用するクラウドサービスに侵入され、機密情報が漏えいする恐れもある。こうした不正ログインを防ぐ手段として注目されているのが、多要素認証だ。

多要素認証で使われる3つの要素

　多要素認証で使われる要素としては、大きく3つある。以下のとおりだ。

1.知識情報（SYK：Something you know）
・パスワード
・暗証番号
・秘密の質問とその答え　など

2.所持情報（SYH：Something you have）
・ICカード
・スマートフォン
・スマートフォンアプリのワンタイムコード　など

3.生体情報（SYA：Something you are）
・顔
・指紋
・瞳の虹彩
・静脈　など

　多要素認証では、これらの異なる要素から2つ以上を組み合わせて使用する。例えば、「パスワード（知識情報）」と「スマートフォンアプリのワンタイムコード（所持情報）」の組み合わせが一般的だ。

多要素認証の普及の系譜

　多要素認証をいち早く導入したのは、金融機関のATMだとされている。キャッシュカード（所持情報）と暗証番号（知識情報）を組み合わせる方式は、1970年代から採用されてきた。2000年代には、指紋認証（生体情報）を取り入れたATMも登場し、セキュリティ強化の一環として注目された。しかし、近年では利用者の減少や、専用機器の維持管理コスト、利便性などの面からこれらを見直すケースも増えている。この事例は、多要素認証においても、セキュリティ強化だけでなく、運用コストや利用者の利便性とのバランスが重要であることを示唆している。

　一方で、多要素認証を身近な存在にしたのは、スマートフォンのロック解除だろう。特別な機器を必要とせず、端末付属のカメラやセンサーなどで顔認証や指紋認証を行えるようになった点が、普及の要因だろう。この技術の浸透により、多要素認証に対する心理的ハードルが下がり、企業システムへの導入も加速している。

多要素認証がもたらすメリットと導入時の留意点

多要素認証の3つの主なメリット

　多要素認証が企業にもたらす主なメリットは大きく3点ある。以下、整理していこう。

1．セキュリティの大幅な強化
　多要素認証の最大の利点は、セキュリティレベルの飛躍的な向上だ。仮にパスワードが漏えいしても、第2、第3の認証要素がなければ不正ログインは成立しない。総務省の「国民のためのサイバーセキュリティサイト」でも、多要素認証の採用が推奨されている。

2．パスワード管理の負荷が減る
　パスキー認証などの技術を適切に活用すれば、パスワード入力が不要になる場合もある。利用者だけでなく、インターネットでサービスを提供する企業にも利点がある。例えば、複雑なパスワードポリシーの策定や、定期的なパスワード変更の強制、パスワードリセット対応などの管理業務が不要になる。

3．コンプライアンス対応
　経済産業省がIPAと策定した「サイバーセキュリティ経営ガイドライン Ver3.0 実践のためのプラクティス集」では、経営者がリスクに応じて重要な情報システムに対するアクセス制御や認証を含む技術的対策を指示・実装することが求められている。その一例に、自動車・金融等の各業界団体が策定するセキュリティガイドラインが挙げられる。ここでは、重要なシステムや管理者権限へのアクセスに多要素認証を採用することが明示的に求められ、多要素認証の導入は、これらのコンプライアンス要求への対応につながることがわかる。

導入時に考慮すべきデメリットと対策

　一方、デメリットとしては、大きく2点が挙げられる。それは、導入や運用にコストがかかる点と、利便性が低下する恐れがある点だ。

　一部の指紋認証システムでは、利用環境（例：指先の乾燥や汚れ）により認証精度が低下するといった課題が発生する可能性もある。実際に筆者が所属した組織では、早い時期にタイムカードの代わりに、コストをかけて指紋認証システムを導入したが、寒い日は皮膚が収縮したりすることで、指紋がうまく読み取れないトラブルが発生した。

　しかし、コスト面を考慮しても多要素認証には、検討するだけの価値がある。現代は、サプライチェーンの高度化などで規模を問わずあらゆる企業がサイバー攻撃の標的となる時代になっている。実際に不正アクセス被害にあった場合、操業停止のような予期せぬ事態の発生はもちろん、さまざまな経済的損失・社会的信用の低下というリスクを考えると、多要素認証への投資は長い目で見て企業の収益力強化に貢献できるだろう。

企業における多要素認証の導入方法

　企業が多要素認証を導入する場合、「Microsoft 365」や「Google Workspace」「Amazon Web Services（AWS）」などのクラウドサービスを利用する際のアクセスに活用するのが一般的だ。多くのサービスでは、管理画面からの設定変更だけで多要素認証を有効化できる。

　テレワークの普及により、社外から社内の業務システムにアクセスすることも多くなってきた。こうしたリモートアクセスには、多要素認証を上手に活用するとよいだろう。自宅や外出先など、管理が行き届かないネットワーク環境からのアクセスは、不正ログインのリスクが高まる。

　特に、特権アカウント（管理者権限）を持つユーザーのログインには、慎重な姿勢が必要だ。よりセキュアな多要素認証の適用なども検討してはいかがだろうか。

　多要素認証は、もはや従業員数の多い企業や金融機関だけのものではない。サイバー攻撃が高度化・多様化する中、あらゆる規模の企業にとって万全のセキュリティ対策は必須だ。初期投資や運用面の課題はあるが、不正アクセス被害のリスクと比較すれば、多要素認証をセキュリティ強化の一環として導入する価値は十分にある。まずはクラウドサービスへのアクセスから導入を始め、段階的に適用範囲を広げていくことをお勧めしたい。セキュリティ投資は、企業の信頼性と継続性を守るための重要な経営判断だ。その1つの選択肢として、多要素認証を改めて検討してみてはどうだろうか。

※掲載している情報は、記事執筆時点のものです。