多要素認証とは？仕組みと重要性、利用時の注意点を解説

多要素認証とは

多要素認証(Multi-Factor Authentication、MFA)とは、ユーザーがシステムやアカウントにアクセスする際に、異なる種類の認証要素を2つ以上組み合わせて本人確認を行うセキュリティ手法です。認証の3要素である「知識要素」「所有要素」「生体要素」のうち、複数を組み合わせることで、IDとパスワードだけの認証と比較してセキュリティを大幅に強化できます。

DXの進展に伴い、インターネットバンキングやクラウドサービスなど、オンラインで重要な情報を扱うシステムが普及しています。SNSでの発信など個人のアイデンティティもデジタル化が進み、中にはインターネットバンキングよりSNSにログインできなくなる方が困るという方もいるでしょう。

このような重要なオンラインサービスを不正アクセスから守るため、内閣サイバーセキュリティセンター(NISC)と独立行政法人情報処理推進機構(IPA)が推奨するサイバーセキュリティ対策9か条の3条目でも「多要素認証を利用しよう」が掲げられています。

多要素認証の3つの要素

多要素認証（Multi-Factor Authentication、MFA）は、ユーザーがシステムやアカウントにアクセスする際に、複数の認証要素を提供することを要求するセキュリティ手法です。
多要素認証では、以下の3つの要素を組み合わせて認証を行います。

知識要素（Something You Know）

ユーザーが知っている情報です。
例えば、パスワードや暗証番号（PINコード）などが含まれます

所有要素（Something You Have）

ユーザーが所有している物理的なアイテムやデバイスです。
これには、スマートフォンやUSBトークン、スマートカード、またはハードウェアキーなどが含まれます。

生体要素（Something You Are）

ユーザーの生体的特徴です。
指紋、虹彩、顔のスキャン、声の認識などがこれに該当します。

多要素認証は、これらの要素の組み合わせによって、不正アクセスから身を守ります。単一の要素（例えばパスワードのみ）を使用する場合、攻撃者がその要素を盗むか推測することでアカウントに侵入する可能性が高まります。しかし、多要素認証では、攻撃者は複数の認証要素を同時に持つことが必要となり、セキュリティが向上します。

このように説明すると難しく感じますが、多要素認証は身近で利用しています。
代表的なものは銀行のキャッシュカードでの払い戻しです。

ATMで現金を払い戻しする際には、銀行が発行したキャッシュカードが必要です。このキャッシュカードが「所有要素」です。
キャッシュカードをATMに挿入後、払い戻しの処理を行うと暗証番号の入力を求められます。この暗証番号が「知識要素」です。
たとえ道端で誰かのキャッシュカードを拾っても、暗証番号がわからなければお金を引き出すことはできず、逆に知人の銀行の暗証番号を知る機会があっても、キャッシュカードがなければお金を引き出すことはできません。このようにどちらかの要素が欠けているとお金を不正に引き出すことができない点が預金の払い戻しにおける多要素認証です。

多要素認証が必要とされる背景

近年、多要素認証の導入が急速に進んでいる背景には、以下のような要因があります。

オンラインサービスの普及と重要性の増大

DXの進展に伴い、インターネットバンキングやネット証券など、オンラインで金銭や重要情報を扱うシステムが普及しました。前述のATMでのキャッシュカードによる払い戻しと異なり、インターネットバンキングでは物理的なカードを利用しないため、代替となる所有要素としてワンタイムパスワードなどが導入されています。

サイバー攻撃の巧妙化と増加

フィッシングによる認証情報の窃取やブルートフォースアタック、パスワードリスト攻撃など、サイバー攻撃が巧妙化しています。内閣サイバーセキュリティセンター(NISC)と独立行政法人情報処理推進機構(IPA)が推奨するサイバーセキュリティ対策9か条の2条目「パスワードは長く複雑にして、他と使い回さないようにしよう」で示される「パスワードの使い回し」への注意は、パスワードが漏洩する前提に基づいています。

攻撃者がIDやパスワードを不正に入手した後の対策として、多要素認証が有効な防御策となることから、導入が推進されています。

多要素認証の種類

認証には様々な種類があります。

	知識要素 （Something You Know）	所有要素 （Something You Have）	生体要素 （Something You Are）
概要	ユーザーの記憶している情報に基づいた認証要素。 システムへの組み込みが簡単なこともあり、オンラインサービスの主流の認証方法。	ユーザが所有している物理的なモノに基づいた認証要素。 キャッシュカードやUSBトークンなど直接的なものから、スマートフォンに設定されている電話番号を利用したSMS認証や、認証アプリによるものもある。	指紋や顔、声紋など個人で異なる生体的特徴を利用した認証手段。 サイバー攻撃に強く、物理的なデバイスも必要ないが、認証デバイス（センサー等）にコストや技術的な制約が発生することがある。
代表例	・ID/ユーザ名 ・パスワード、パスフレーズ、暗証番号（PINコード） ・秘密の質問	・ハードウェアトークン 　USBトークン 　ICカード、磁気ストライプカード 　鍵 　SMS認証 ・ソフトウェアトークン 　メール認証 　Google Authenticator 　Microsoft Authenticator ・ワンタイムパスワード	・指紋 ・虹彩 ・声紋 ・顔 ・静脈 ・行動（筆跡・振る舞い）
メリット	・持ち運び不要 ・変更が容易	・運搬が可能	・ユーザの同意なく利用できない ・持ち運び不要 ・盗難、偽造のリスクが低い
デメリット	・推測やサイバー攻撃で見破られることがある ・忘れることがある	・紛失や盗難のリスクがある ・破損することがある ・認証装置のバッテリー切れの可能性がある	・認識エラー ・生体情報の変化 ・生体情報が盗まれたり偽造された場合に変更できない

多要素認証と二段階認証の違い

多要素認証と混同されやすい用語に「二段階認証」があります。

二段階認証は、認証を2回行うことでセキュリティを高める方法ですが、使用する要素の種類は問いません。例えば、IDとパスワードでログイン後、秘密の質問に答える場合、2回認証を行っていますが、どちらも「知識要素」のため二段階認証であっても多要素認証ではありません。

一方、多要素認証は異なる種類の要素を組み合わせることが条件です。IDとパスワード(知識要素)でログイン後、スマートフォンに送信されたコード(所有要素)を入力する場合は、二段階認証であり、かつ多要素認証となります。

異なる要素を組み合わせることで、一つの要素が漏洩してもアカウントを保護できるため、多要素認証の方がセキュリティレベルが高いとされています。

多要素認証に関する注意

多要素認証機能の有効化が必要な場合がある

サイバーセキュリティ対策9か条の3条目「多要素認証を利用しよう」が意図する意味を考えます。多要素認証はユーザーが能動的に利用しなければいけないものでしょうか。

セキュリティ対策に有効な多要素認証ですが、認証の回数が増えるためユーザの負担は増えます。
中には、頻繁にサービスにログインするので、毎回多要素認証するのは面倒という方もいます。そうした方のために、サービスによっては多要素認証の機能を利用するかしないかをユーザが選択できるものもあります。
セキュリティのためには有効化することをお勧めしますが、注意点としては、初期状態は「利用しない」と設定されており、ユーザが能動的に機能を有効化しないと利用できない場合があります。
新規のサービスを利用する場合は多要素認証の有無を確認したり、利用中のサービスに多要素認証の機能が実装された場合は初期値がどのようになっているか確認しましょう。

多要素認証疲労攻撃（MFA Fatigue Attack、MFA Bombing）

多要素認証疲労攻撃とは、専用アプリのプッシュ通知やSMSによるログインの許可要求を狙った攻撃です。

手口は複数あります。

• ログイン認証の通知を大量に送り、ユーザが煩わしさや恐怖に耐えかねて許可を押してしまう
• ログイン認証の通知を大量に送り、誤操作で許可してしまう
• 就寝中など判断力が落ちているタイミングにログイン認証を送信し、誤操作を狙う
• ログイン認証の通知とともに、運営を装い「認証要求を止めるためには許可ボタンを押してください」と通知する

対策

パスワードを使い回すことにより発生する攻撃は「パスワードリスト攻撃」です。
多要素認証の通知が送信されているということは、前段にあるIDとパスワードを攻撃者が入手しているということです。
パスワードを再設定することにより攻撃者が現在掴んでいるパスワードでログインできない状態にすることが有効です。
また、多要素認証が複数選べるサービスの場合は、生体認証を利用することも有効です。

まとめ