【ブログ翻訳】多要素認証(MFA)とは何か?

The Language of Cybersecurity (4)

2021年4月1日

多要素認証(MFA:Multi-factor authentication)は、その名が示すとおり、アプリケーションやWebサイトをはじめとする他リソースへのアクセスを要求している人のアイデンティティを確認するために、複数の要素を使用する認証方式です。パスワード入力だけでアクセスできることに対して、多要素認証の例をあげると、パスワードに加えてワンタイムパスワード(OTP)も入力したり、パスワードと秘密の質問に対する回答の両方を入力する違いがあります。

多要素認証では、複数の要素でアイデンティティ確認をすることで、本人であることがより確実になり、機密データへの不正アクセスのリスクが軽減されます。パスワード認証では、盗んだパスワードを入力すれば簡単に何度でもアクセスできるのに対して、多要素認証では、盗んだパスワードを入力した後、さらに正当なユーザーのスマートフォンにテキストメッセージで送信されたOTP(ワンタイムパスワード)を入力したりしなければならないからです。

2つ以上の要素の任意の組み合わせによる認証が多要素認証です。要素の組み合わせが2つの場合は、二要素認証です。

 

多要素認証:動作例

多要素認証方法の3つのカテゴリ

多要素認証方法は通常、次の3つの方法のいずれかに分類されます。

1.知っていること-PIN、パスワード、セキュリティ質問(秘密の質問)に対する回答

2.持っているもの-OTP、トークン、信頼できるデバイス、スマートカードやスマートバッジ

3.本人の体の一部-顔や指紋や網膜のスキャン、他の部位を使った生体認証

多要素認証方法の例

パスワードに加えて、次のいずれかの方法を加えることで多要素認証を実現できます。

生体認証—人の指紋、顔の特徴、目の網膜や虹彩などでの生体認証を認識するデバイスまたはアプリケーションによる認証方法

プッシュ承認-ユーザーに、デバイスの画面をタップしてアクセス要求を承認するように求める、デバイスに通知する認証方法

ワンタイムパスワード(OTP)—ログインやトランザクションのために自動的に生成された1回だけ有効な文字セットをユーザーが入力して認証する方法

SMSテキスト-ユーザーのスマートフォン等のデバイスにOTPを配信する方式

ハードウェアトークンまたはハードトークン-キーフォブと呼ばれることもあり、小型でポータブルなOTP生成器

ソフトウェアトークンまたはソフトトークン-物理的なトークンではなく、スマートフォン等のデバイスで実行するソフトウェアアプリ

多要素認証の利点

セキュリティの向上:多要素認証によりセキュリティが向上します。アクセスポイントを保護するメカニズムがひとつしかない場合、悪意のある攻撃者は、そのパスワードを推測または盗む方法を見つけることだけでアクセスできる可能性があります。ただし、認証に2番目(または2番目と3番目)の認証要素も必要な場合、特に生体認証機能など、推測や窃取が難しい場合は、入力がはるかに困難になります。

デジタル化推進の実現:近頃は、リモートワークの導入を積極的に推進している組織、実店舗よりオンラインで買物を選択する消費者、アプリやリソースをクラウドに移行する組織が増えているため、多要素認証は脚光を浴びています。デジタル時代は、組織や電子商取引のリソースの保護には困難を伴いますが、多要素認証はオンラインでのやり取りやトランザクションを安全に保つうえで非常に役立ちます。

多要素認証には欠点がありますか?

より安全なアクセス環境を構築する過程で、あまり便利ではない方法を選択してしまい、それが欠点となる可能性があります。 (これは、ネットワークおよびネットワーク上で実行されているアプリケーションやサービスを含むすべてを潜在的な脅威として扱うゼロトラストが、安全なアクセスの基盤として引き続き牽引力を獲得しているため、特に当てはまります。)ログオンしてリソースにアクセスするために、面倒と感じる操作に毎日、余分な時間を費やしたいと思う従業員はいないでしょう。急いで買い物や銀行の用事を済ませたいと思っている消費者は、複数の認証要件に待ち伏せされたくありません。重要なのは、セキュリティと利便性のバランスを取りながら安全なアクセスを提供することです。アクセスの必要条件は、本来必要とする人に過度の不便をもたらすほど面倒ではありません。

 

多要素認証におけるリスクベース認証の役割

セキュリティと利便性のバランスをとるひとつの方法は、アクセス要求に関連するリスクに基づいて、認証要件を強化または低く設定することです。これがリスクベース認証の意味です。リスクは、アクセスされているもの、アクセスを要求している人、またはその両方にある可能性があります。

・アクセス先にもたらされるリスク:たとえば、誰かがネット銀行のある口座へアクセスを要求した場合、それは送金処理を行うためなのか、送金のステータスを確認するだけなのか。あるいは誰かがオンラインショッピングのサイトやアプリでやりとりを行った場合、それは何かを注文するためなのか、それとも注文商品の配達状況を確認するだけなのか? 後者にはユーザー名とパスワードで十分な場合がありますが、リスクの高い価値の高い資産がある場合は、多要素認証が理にかなっています。

・アクセスの要求者によりもたらされるリスク:リモート社員または関係会社の社員が毎日、同じ都市から同じノートPCを使用して企業ネットワークへのアクセスを要求する場合、その人ではないと疑う理由はほとんどありません。しかしある朝、ミネアポリス在住のメアリーさんからの認証要求が突然、モスクワから来た場合はどうでしょうか? 潜在的なリスク(それは本当に彼女ですか?)により、追加の認証を要求するのは妥当でしょう。

多要素認証の未来:人工知能や機械学習など

多要素認証は、組織の安全がより確保され、ユーザーに便利なアクセスを提供するために絶えず進化しています。バイオメトリクスはこのアイデアの好例です。指紋や顔イメージを盗むのは困難であることから、より安全であると同時に、ユーザーはパスワードを覚えなくてよいので、より便利です。

以下は、今日の多要素認証を形作る進歩の一部です。

・人工知能(AI)と機械学習(ML)-AIとMLを使用して、特定のアクセス要求が「正常」であるかどうかを示す行動を認識できます。したがって追加の認証は必要ありません(または、追加の認証が正当である裏付けとなる異常な行動を認識します)。

Fast Identity Online(FIDO)-FIDO認証は、FIDO Allianceが提供するオープンスタンダードに基づいています。パスワードだけに頼る危険なログインを、Webサイトやアプリ全体で安全かつ手早くできるログインに置き換えることができます。

パスワードレス認証-パスワードに加えてパスワード以外の方法で追加認証するのではなく、パスワードそのものを使うことをしない認証方式です。

多要素認証は、信頼性を高め、人々が複雑で面倒な手順を踏むことなく自分自身を証明できる方法を模索して、変化と向上を続けています。

(多要素認証ソリューション RSA SecurID トライアルにご興味がある方はこちらからお申し込みください)

 

これは、RSA Blog (THE LANGUAGE OF CYBERSECURITY, What is MFA?) の翻訳です。

# # #

© 2020 RSA Security LLC、その関連会社。All Rights Reserved.

RSAおよびRSAロゴ、FraudActionは米国RSA Security LLC 又はその関連会社の商標又は登録商標です。RSAの商標は、https://www.rsa.com/en-us/company/rsa-trademarks.を参照してください。その他の製品の登録商標および商標は、それぞれの会社に帰属します。