マルチ認証

マルチ認証とは

マルチ認証とは、複数の認証方式を組み合わせることによって高度なセキュリティを担保する仕組みです。ほぼ同義の言葉でMFA（Multi-Factor Authentication）、日本語で多要素認証があります。多要素認証とは、「知識情報」「所持情報」「生体情報」という認証の3要素の中から、2つ以上の異なる認証要素を用いて認証する方法です。

知識情報とは、IDやパスワード・PINコードなどの本人だけが知る情報です。本人だけが知る情報をシステム側に記憶させ、ログイン時に一致させて認証します。知識情報による認証は導入コストは低いですが、本人が間違えず記憶する必要があります。また、他者に知られたり漏えいしたりするリスクがある情報です。

所持情報とは、本人だけが所持しているクレジットカード・キャッシュカード・運転免許証・保険証などの情報です。一定時間のみ有効なワンタイムパスワードも、本人が持つスマホやタブレットに直接発行される所持情報で、これらを所持することで本人認証が可能です。情報を記憶する必要はありませんが、破損・紛失・盗難等のリスクがあります。

生体情報とは、指紋・虹彩・声紋・DNAなど利用者自身の特長を指します。それぞれの身体に備わっている情報なので、記憶する必要がありません。これらの情報を用いた生体認証は紛失・盗難の恐れがなく、複製や偽造が難しいメリットはありますが、導入コストが高くなりがちです。

このように、3つの要素にはそれぞれメリットとデメリットがあります。マルチ認証はこれらを組み合わせることで、メリットを活かしつつデメリットを最小化できます。

マルチ認証が普及する背景

マルチ認証が普及する背景として、サイバー攻撃の増加が挙げられます。近年、金銭に関わる情報や個人情報などをオンラインでやりとりする機会が増加しました。これらの情報を盗み取ろうとするサイバー攻撃の手法も巧妙化しています。

これまで用いられてきたパスワード認証は、コンピューターを用い総当たりでパスワードを試す方法などによって認証を突破される恐れがあります。パスワードの文字数を増やしたり、記号や大文字小文字を組み合わせたりして文字列を複雑化する対策にも限界があるでしょう。

さらに、同じパスワードを複数のWebサイトで使いまわす人も多く、一カ所でパスワードが漏えいすると被害が複数のサービスに広がってしまうリスクがあります。パスワード認証に限界がある中、重要な情報を守るためのより強固なユーザー認証方法として、マルチ認証や多要素認証が普及しました。

また、テレワークを積極的に活用する企業数が急増し、時間や場所を問わずWeb上のシステムやサービスを使用できる環境が整備されました。しかしながら、IDとパスワードの認証だけでシステムやサービスに十分なセキュリティを担保することは困難です。それゆえ、万が一ID・パスワードが漏えいした際のリスクを軽減させるマルチ認証が必要とされるようになりました。

補足

マルチ認証のセキュリティをより向上させるための主な手段として、以下の2つが挙げられます。

パスワードルールを適切に設定する
ワンタイムパスワードを追加発行する

パスワードは認証の基本となるので、ルールを適切に設定する必要があります。推測しやすい簡易すぎるパスワードは設定できないようなルール設定が求められます。しかしながら、複雑すぎるパスワードを設定しても、従業員がそれをメモをして保持してしまっては漏えいのリスクを高めてしまうでしょう。また、適切なルール設定と同時に利用者へのパスワードの安全な保管方法の周知も重要です。

ワンタイムパスワードは、一定時間を過ぎると使用できないため、漏えいした際のリスクを軽減できるのが特徴です。自動オペレーターからの電話で伝えられる、SMSに発行される、もしくは操作している端末とは別の端末にメールで送信されるなどの方法で取得します。セキュリティ強化に効果があるため、ネット銀行のログインやクレジットカード情報の入力などに活用されています。