多要素認証(MFA)とは、少なくとも2つの独立した検証手段を要求し、ユーザーのアイデンティティ(ID)、アプリケーション、サーバー、またはVPNなどのリソースへのアクセス権限を付与する高度な階層認証フレームワークです。多要素認証(MFA)の目標は、未認証のユーザーがコンピューティングデバイス、ネットワーク、データベースなどのターゲットにアクセスするのを阻止するための多層防御を提供することです。多要素認証(MFA)では、1つの要素が侵害された場合でも、少なくとも1つ以上の防御層がアクセスを阻止します。
多要素認証(MFA)は、IDアクセス管理(IAM)フレームワークの主要要素であり、リソースへのアクセスのしきい値を高めます。二要素認証は技術的には多要素認証(MFA)の一種ですが、通常は2つ以上の要素が使用されます。
多要素認証(MFA)が必要である理由
多要素認証(MFA)が必要である主な理由は、多要素認証(MFA)によって組織全体のセキュリティ体制が強化されるからです。ユーザー名とパスワードの認証情報を新たなレベルに引き上げ、アクセス保護の効果を大幅に向上させることができます。パスワード以外の要素を追加すれば、パスワードの漏洩を防止し、ハッカーが盗んだ認証情報を使用してアカウントに侵入しようとする行為を阻止できます。
さらに、多要素認証(MFA)は、ユーザーにとって自然な行動であり、ブルート フォース攻撃(総当たり攻撃)による認証情報の漏洩リスクを回避するのに役立ちます。具体的には、次のようなものがあります。
- パスワードの再利用
- パスワード情報を付箋に書き出す、またはデジタル上のドキュメント、スプレッドシート、連絡先などに保存する
- 予測可能なパスワードの利用
多要素認証(MFA)の利点
- さまざまなユースケースに対応
- ハードウェア、ソフトウェア、個人識別レベルでセキュリティ層を追加
- 管理者は、時間帯や場所ごとにアクセスを制限するポリシーを適用
- ユーザーが容易に設定可能
- 管理者にすべてのアクティビティを監視する必要がなく、不審な動作としてフラグが立てられた動作を重点的に対処することで、管理コストを削減
- 複数のアカウントをまたいで異なるパスワードを記憶、管理する必要がなくなる
- アカウント、デバイス、ネットワーク、データベースなどのリソースへの不正アクセスを防ぐ多層防御システムを採用
- リアルタイムでランダムに生成され、テキストまたはメールで送信されるワンタイム パスワード(OTP)の使用が可能
- コーポレート ガバナンス、政府、業界標準によって定められたルールに準拠
- 個人情報を保護することで、ユーザーからの信頼を向上
- インターネットに接続できないユーザー向けに、オフライン アクセスのオプションを提供
- 全体的なセキュリティを損なうことなく、どのデバイスや場所からでもアクセスを可能にし、生産性を向上
- ユーザーのアクティビティを監視し、高額な取引の処理や、不明なネットワーク、端末からの機密情報へのアクセスなどの異常を特定
- 予算に合わせて拡張性のあるコスト構造を提供
- ユーザーが本人であることを確認することで、不正行為を防止
- パスワードのみを使用する場合よりもセキュリティ侵害を大幅に軽減
- ユーザーにとって摩擦の少ないプロセスを作成することで、導入の障壁を排除
- 位置情報、IPアドレス、最終ログインからの経過時間など、さまざまなリスク要因に応じて使用状況を追跡
多要素認証(MFA)の仕組み
多要素認証(MFA)では、ユーザーがリソースにアクセスしようとするときに、ユーザー名とパスワードの認証情報に加えて、追加の検証情報を要求します。認証されると、ユーザーはリソースに接続されます。
多要素認証(MFA)は、端末、アプリケーションごとに次のように分類されます。
- 端末向けの多要素認証(MFA)では、ログイン時にユーザーを検証します。
- アプリケーション向けの多要素認証(MFA)では、ユーザーを検証し、1つ以上のアプリケーションへのアクセス権限を付与します。
アダプティブ 多要素認証
アダプティブ 多要素認証は、リスクベース認証とも呼ばれ、コンテキストと行動を考慮して追加の要素を分析します。人工知能(AI)を使用してコンテキストデータを収集、処理し、リアルタイム分析を通じてログイン試行に関連するリスクスコアを算出します。
リスクスコアに基づいて、最適なユーザー認証方法を決定できます。次に例を示します。
- 低リスクの場合はパスワードのみが必要
- 中リスクの場合はMFAが必要
- 高リスクの場合は追加の認証プロセスが必要
アダプティブ 多要素認証は、ログインに対して静的なルールのリストを使用するのではなく、認証方法を動的に決定します。AIを使用することで、ユーザーの行動や特性に適応し、ユーザー セッションごとに最適なID検証方法を適用できます。考慮される要素には、次のものが含まれます。
- 端末
ユーザーは未認証の端末を使用してログインしようとしていますか? - IPアドレス
IPアドレスは、ユーザーがリソースにログインするときに通常使用するものと同じですか? - 場所
ユーザーは、短期間に2つの異なる場所からアカウントにログインしようとしたことがありますか?ログイン場所は通常と異なる場所ですか?ユーザーは、企業ネットワークではなくパブリック ネットワークからログインしようとしていますか? - 機密性
ユーザーは機密情報にアクセスしようとしていますか? - ログイン時間
ログイン時間は、ユーザーの通常のログイン時間と相関関係がありますか?
AIと多要素認証(MFA)
多要素認証(MFA)にAIを追加すると、セキュリティ対策の効果と効率を向上できます。サイバー犯罪者は進化し続けており、巧妙な手口でユーザーの認証情報を盗もうとします。多要素認証(MFA)にAIを追加すれば、サイバー犯罪者が多要素認証(MFA)保護を突破することがはるかに困難になります。
AIベースの多要素認証(MFA)システムは、継続的に学習、適応し、エンド ユーザーへの影響を回避しながらサイバー犯罪者に先手を打ちます。
AI対応型多要素認証(MFA)を使用すると、ユーザーの行動に基づいてユーザーIDを検証できます。たとえば、行動的生体認証では、ユーザーのスマートフォンの持ち方から歩き方に至るまで、あらゆる行動を追跡できます。
AI対応型多要素認証(MFA)には、次の機能も含まれています。
- 生体認証
- 顔認証
- 指紋認証
- 虹彩認証
- 手のひら認証
- 音声認証
多要素認証(MFA)の例
生体認証
生体認証機能を備えたスマート端末、コンピュータは、IDを検証できます。生体認証は、ユーザーにストレスの少ないログイン手順を提供し、なりすましを徹底的に阻止してセキュリティを強化できるため、多要素認証(MFA)の一部として採用されることが増えています。
メール トークン認証
メール トークン認証を使用すると、ユーザーはOTPが記載されたメールを受け取ります。OTPと1つ以上の認証方法を組み合わせて、ユーザーIDを検証します。多くの場合、メール トークン認証は、スマートフォンが手元にないユーザー向けに、SMSトークン認可の代替手段として提供されます。
ハードウェア トークン認証
ハードウェア トークンは、セキュリティ レベルを向上させるために多要素認証(MFA)に使用されます。メール トークン認証やテキスト トークン認証を使用するよりもコストがかかりますが、最も安全な認証方法であると考えられています。ユーザーIDを検証し、端末にアクセスするには、ハードウェア トークンを端末に挿入する必要があります。
ソーシャル ログイン認証
ソーシャルログイン、またはソーシャルID確認は、ユーザーが既にソーシャルメディアプラットフォームにログインしている場合、多要素認証(MFA)に使用できます。他の認証要素よりもリスクが高いと考えられていますが、他のID検証方法と併用すると、高い効果を期待できます。
ソフトウェア トークン認証
スマート端末の認証アプリケーションを多要素認証(MFA)に使用できます。このアプリケーションは、スマート端末を、多要素認証(MFA)認証サービスに関連付けることができるトークンに変換します。
リスクベース認証
リスクベース認証(RBA)は、行動やアクティビティ(場所、端末、キーストロークなど)を監視することで多要素認証(MFA)をサポートします。監視結果に基づいて多要素認証(MFA)チェックの頻度を通知し、セキュリティを強化して、リスクを最小限に抑えることができます。
セキュリティ質問
ナレッジベース認証(KBA)の一種である静的または動的なセキュリティ質問を、多要素認証(MFA)に使用できます。静的な質問の場合、ユーザーはアカウントのセットアップ中に質問に回答します。これらの質問は、ログイン プロセス中にID検証のためにランダムに提示されます。
動的な質問は、公開されている情報を使用してリアルタイムで生成されます。通常、ユーザーには1つの質問と複数の回答選択肢が表示されます(例:生まれた都市、過去に住んでいた住所、過去の電話番号)。IDを検証するには、ユーザーは正しい回答を選択する必要があります。
ショート メッセージ サービス(SMS)認証
SMSトークン認証では、個人識別番号(PIN)が記載されたテキスト メッセージが送信されます。PINはワンタイムパスワード(OTP)として、1つ以上の要素と組み合わせて使用されます。
SMSトークン認証は、実装が比較的容易な多要素認証(MFA)手法です。一般的に、メール トークン認証の代替配信方法として使用されています。
時間ベースのワンタイム パスワード認証
時間ベースのワンタイム パスワード(TOTP)は、ユーザーがログインを試行するときに生成されます。設定された時間が経過すると期限切れになります。TOTPは、SMSまたはメールを介して、ユーザーのスマートフォンまたはコンピュータに送信されます。
多要素認証(MFA)の手法
多要素認証(MFA)は、複数の認証方法を組み合わせて実行します。多要素認証(MFA)の主な手法は、ID検証に使用される4種類の情報に基づいています。
- 知識(ユーザーが把握している事柄)
- 所有物(ユーザーの所有物)
- 生得(ユーザーの生得的要素)
- 時間ベースの認証
多要素認証(MFA)の知識カテゴリ
多要素認証(MFA)で知識ベースのID検証を行う場合、ユーザーはセキュリティ質問に答える必要があります。多要素認証(MFA)における知識の例は、次のとおりです。
- セキュリティ質問への回答(例:ユーザーの出身地、好きな色、高校のマスコット、母親の旧姓)
- ワンタイムパスワード(OTP)
- パスワード
- PIN
多要素認証(MFA)の所有物カテゴリ
多要素認証(MFA)の所有物要素では、ログインするためにユーザーが所有する物が必要になります。その理由は、サイバー犯罪者にとって、ユーザーが所有するオブジェクトを取得することは困難だからです。多要素認証(MFA)の所有物カテゴリに含まれる物には、次のようなものがあります。
- バッジ
- キーホルダー
- キーチェーン
- スマートフォン
- 物理トークン
- スマート カード
- ソフト トークン
- ユニバーサル シリアル バス(USB)キー
多要素認証(MFA)の生得カテゴリ
多要素認証(MFA)では、ユーザーの生物学的特徴のいずれかを確認することで、IDを検証できます。生得要素には、次の生体認証方法が含まれます。
- 顔認証
- 指紋スキャン
- 音声認証
- 網膜または虹彩スキャン
- 音声認証
- 手の形状
- デジタル署名スキャナー
- 耳たぶの形状
時間ベースの多要素認証(MFA)
時間を使用して多要素認証(MFA)を実行することもできます。時間ベースの認証は、特定の時間にユーザーの存在を検出し、特定のシステムまたは場所へのアクセス権限を付与することで、そのユーザーのIDを証明できます。たとえば、米国のATMで現金の引き出しが行われ、10分後に中国で2回目の引き出しが試みられた場合、キャッシュ カードはブロックされます。
多要素認証(MFA)のベスト プラクティス
多要素認証(MFA)の実装は難しくありませんが、ベスト プラクティスを考慮することで、効率的かつ効果的な展開が可能になります。多要素認証(MFA)システムの実装や管理について一般的に言及されるベスト プラクティスは、次のとおりです。
多要素認証(MFA)の重要性とその使用方法をユーザーに理解してもらう
ユーザーは、セキュリティ チェーンの最も脆弱な部分であると考えられており、多要素認証(MFA)展開の成功に不可欠です。システムの仕組みやルールに従うことの重要性について、ユーザーに時間をかけて説明することで、プログラムのサポートを強化できます。
企業全体に多要素認証(MFA)を実装する
多要素認証(MFA)を展開する際に、組織全体のすべてのアクセス ポイントを含めることで、多要素認証(MFA)の効果を損なう恐れのあるギャップを回避します。すべてのシステムをまたいで分散しているリモート ユーザーを考慮し、多要素認証(MFA)の展開時にリモート ネットワーク アクセスを必ず含める必要があります。
アダプティブ 多要素認証(MFA)を含める
コンテキストを使用して、高度なアダプティブ 多要素認証(MFA)アプローチを構築します。アダプティブ
多要素認証(MFA)では、デフォルト設定ではなくリスク スコアのみに基づいて追加の要素をユーザーに求めます。
ユーザーにさまざまな認証要素を提供する
ユーザーに複数の認証要素を提供することで、ユーザー体験と採用率を強化できます。この優れた柔軟性により、ユーザーが煩雑で制約が多いと感じる、画一的なアプローチを回避できます。ユーザーに選択肢を与えることで、システムと導入全体に対する満足度が高まります。
多要素認証(MFA)の導入を再評価する
定期的に評価を実施し、多要素認証(MFA)の展開が現在の脅威に対処し、引き続きすべてのアクセス ポイントに対応できるように最適化されていることを確認します。
標準ベースのアプローチを採用する
既存のITインフラ内における多要素認証(MFA)システムが最適に作動するには、標準に従うことが重要です。考慮すべき標準は、RADIUS(ラディウス)と、OAuth(オープン認証)です。OAuthは、すべてのネットワークをまたいで、すべての端末とユーザーを認証できます。
多要素認証(MFA)を補完的なセキュリティ ツールと組み合わせて使用する
多要素認証(MFA)と他のアクセス制御ソリューション(シングル サイン オン(SSO)、最小権限など)を組み合わせることで、セキュリティを強化できます。
多要素認証(MFA)により、優れた防衛最前線を実現
サイバー攻撃はさまざまなベクトルから発生しますが、エンド ユーザーが標的となることが多いです。多要素認証(MFA)でエンド ユーザーのアクセス ポイントを強化することで、脆弱性が悪用され、認証情報が盗まれた場合でも、複数の保護層によって攻撃を防御できます。
AIやその他の新興テクノロジーを活用する多要素認証(MFA)は、エンド ユーザーのアクセス セキュリティを確保するための、最も効率的なソリューションの一つであり続けています。多要素認証(MFA)ソリューションは、エンド ユーザーや大きな負担を抱えているIT管理者への影響を最小限に抑えながら、効果的なセキュリティ保護を提供します。
FAQ
よくある質問
パスワード以外の要素を追加することで、パスワードの漏洩を防止し、組織全体のセキュリティ体制が強化できるためです。
ATMからお金を引き出す際には、銀行のキャッシュカードだけでなく暗証番号という2つ目の要素を組み合わせることでセキュリティを強化しています。