多要素認証とは
他要素認証(MFA: Multi-Factor Authentication)とは、本人認証を、2つ以上の”要素”を使って行う認証方式です。
クラウドサービスへのログイン時、ユーザー名とパスワード(本人が”知っている情報”)を入力後、さらにSMS(本人が”所有している機器”)に通知されたコードを入力して認証とする、などが、典型的な他要素認証になります。
多要素認証における3つの“要素”
多要素認証における“要素”とは、主に以下の3つに大別されます。
1.知識要素
認証を行う人間が「知っている情報」を入力させる認証です。
ユーザー名とパスワード
最も広く利用される認証方式です。ユーザー名(ユーザID/アカウント名など)と、これに対応するパスワードとを入力して認証とします。
暗証番号(PIN)
一般的には数桁の数値を入力する認証です。別途キャッシュカードが必要、あるいはiPhoneのパスコードなど特定のデバイスにのみ利用できるなど、後述の所有要素と組み合わせることが多いです。
秘密の質問とその答え
「母親の旧姓」や「最初の小学校の校名」など、本人あるいは本人にごく親しい人間だけが知る質問とその答えです。
パスワードと違って覚えやすいというメリットがありますが、パスワードほど安全ではないため、これも通常は他の認証方式と組み合わせます。
2.所有要素
その人が持っているものを使った認証です。
SMS認証/メール認証/電話認証
認証時に電話番号またはメールアドレスを入力し、そちら宛にシステムが自動配信する(あるいは自動電話音声で告げられる)PINを入力することで認証します。
アプリ認証
認証時に専用のスマートフォンアプリに通知が行われ、それに応答することで認証します。
ワンタイムパスワード発生器
専用のワンタイムパスワード発生機器や、Google Authenticator対応アプリにより生成されるワンタイムパスワードを入力することで認証とします。
USBトークン、物理/電子鍵
専用のUSBトークン(ドングル)が挿入されたPCからでないと認証できないなど、鍵もくしは鍵に似たデバイスが必要な認証方式です。
3.生体要素
認証を行う人物の身体的特徴などを利用した認証です。
指紋認証
指の腹を対応デバイスに押し付けることで、登録された指紋の持ち主の認証とします。
顔認証/網膜(虹彩)情報
デバイスのカメラにより顔の形状と網膜/虹彩を読み取り、登録された持ち主の認証とします。
静脈認証
スマートウォッチなどのデバイスから静脈情報を読み取り、登録した人間の認証とします。例えばiPhoneは顔認証とApple Watchの静脈認証とを組み合わせ、マスク中でもロックの解除を可能としています。
位置情報
所有デバイスの位置情報を読み取り、職場など特定の場所からの認証のみを許可します。
多要素認証と多段階認証
多くの他要素認証では、ある認証が済んだ後に、別の認証を行う、というように、複数の段階を経ることになります。これを指して「多段階認証」と呼ぶことがあります。
細かい話になりますが、例えば「ID/パスワード」と「秘密の質問と答え」のような組み合わせは、どちらも同じ知識要素であるために、一般的には(多段階認証と呼ばれることはあっても)多要素認証と呼ばれることはありません。
「パスワード認証後にSMS認証を使ったログイン」のような”知識”と”所有”、あるいは「物理鍵と虹彩認証を使った入室」のような”所有”と”生体”のような、異なる要素の組み合わせが、(認証のコストと引き換えに)よりセキュアな多要素認証となります。
まとめ
一昔前は主に金融サービスやデータセンターなどでしか利用されなかった多要素認証ですが、近年は各種クラウドサービスでも利用されることが当たり前の時代になりつつあります。クラウドストレージの情報漏洩やSNSのアカウント乗っ取りなどの被害に遭わぬよう、適切な多要素認証をご利用ください。
