Webサービスの利用において、多要素認証を求められることが多くなりました。
従来型のID・パスワード認証と、SMSやワンタイムパスワード認証を組み合わせるのがよくある例です。今後サービス利用において多要素認証が使われるケースが増える可能性があります。
多要素認証について改めて確認してみましょう。
多要素認証とは
多要素認証とは、本人確認のために原理が異なる複数の認証手段(要素)を用いることです。
多要素認証は古くからATM利用時で求められていますが、近年ではシステムやWebサービスにも実装されています。
具体的には、多要素認証は以下の3つの要素のうち、2つ以上を組み合わせて認証を行います。
【認証の3要素】
| 要素 | 特性 | 例 |
|---|---|---|
| 知識情報 | 本人しか知りえない情報 | 暗証番号、パスワード、秘密の質問 |
| 所持情報 | 本人の所有物を介した情報 | キャッシュカード、スマホ(契約回線)、ハードウェアトークン |
| 生体情報 | 本人の身体的な情報 | 顔、指紋、虹彩、静脈 |
たとえばATMの利用にあたっては、所持情報たるキャッシュカードに加え、知識情報である暗証番号が必要です。
多要素認証が注目されているのは、サイバー攻撃を受けても安全性を保てやすいためです。
セキュリティ事案において単一の要素に属する情報がまとまって流出し、本人と証明できる情報を複数提示され不正アクセスにいたることがあります。複数の認証要素が必要となるとそのリスクを大きく低減できます。
多要素認証と二段階認証の違い
多要素認証と混同しがちなものに「二段階認証」があります。
二段階認証とは本人確認の認証を行った後に、また改めて別の認証手続きを課すものです。初めの認証手続きに通らないと次の段階に進めないため、「二段階」認証と呼称されています。
二段階認証は多要素認証と違い、認証の3要素の組み合わせにはこだわりません。つまり、初めの段階と次の段階で同種の認証要素を用いることがあります。
たとえば、ID・パスワード認証と「秘密の質問」による二段階認証では、認証3要素のうち「知識情報」の一要素を問われるにすぎません。複数の要素を組み合わせる多要素認証と比べると、二段階認証は本人確認の精度が低く、安全性に劣るといえます。
多要素認証が増える背景
近年、多要素認証が増えた背景には、人々が多数のWebサービスを利用するのが一般的になり、ID・パスワード等の認証情報を管理しきれなくなったことがあげられます。
ハッキングリスクを回避するには強固なパスワードの設定が必須です。そのうえ同じパスワードの使いまわしは非常に危険なため、利用サービスごとに長くて複雑なパスワードを設定して使い分けなくてはなりません。
ただ人が記憶できるパスワードの数には限界があり、同じパスワードを複数のサービスで利用するケースが存在します。最悪の場合、簡単に推測できるパスワードを設定するユーザーもいるようです。これでは何らかの脅威にさらされて認証情報が流出すれば、被害が容易に拡大することが予想されます。
認証情報の管理をユーザーに依存する認証システムには大きな脆弱性があるといえるでしょう。
そこで考え出されたのが多要素認証なのです。
多要素認証の仕組み
多要素認証は複数の認証要素を用いて本人確認を行うため、事実上、二段階(多段階)認証の形式を取ります。まず、2つ以上の認証要素をサーバーもしくは利用端末に登録し、ログイン時にユーザーに提示を要求、登録済みの情報と合致すれば利用を許可します。
認証の各要素の認証手順
認証の3要素の確認手続きは、それぞれ次のような手順を取ります。
- 知識情報:ID・パスワード等を入力→照合
- 所持情報:何らかの物理媒体から情報を取得→入力→照合
- 生体情報:ユーザーの生体情報を提示→照合
このうち、近年普及が進んでいる「所持情報」を使った認証では、他の要素と異なり、認証情報を別途取得する手間がかかります。
たとえば、ワンタイムパスワード発行アプリの「Google Authenticator」「Authy」では、サービス利用の際にアプリが生成した認証コードを入力しログインを完了させます。ただし、まずユーザーによる事前登録と、サービス側が発行するQRコードのアプリ読み取りによる設定が必要です。なお、こういったアプリの場合、複数のWebサービスの認証設定の登録と一括管理ができるため使いやすいです。
多要素認証のメリット
多要素認証は単一の認証方式に比べると煩雑で、ユーザーから歓迎されることもほとんどありません。では、多要素認証の導入にはどんなメリットがあるのでしょうか。
セキュリティを強化できる
多要素認証は従来のID・パスワードによる単一認証の代替として編み出されました。認証情報の適切な設定と管理をユーザーにゆだねているだけでは、セキュリティ上の脅威を回避できない問題があります。
情報流出だけでなく、容易に類推可能なパスワード設定によるハッキング被害が続出しています。ユーザーのネットリテラシーや管理能力に頼らない、物理的な手段を用いた認証方法を併用することで、強力なセキュリティ対策ができるのです。
クラウドサービスの普及を推進できる
近年は自社運用のオンプレミスから、業務効率化に利するクラウドシステムへの移行が進んでいます。また、一般消費者にもWebのサブスクリプションサービスが浸透しています。しかし、企業や消費者のなかには依然クラウドサービスのセキュリティに懸念を持つ向きがあります。
ログイン認証を強化することで、アカウントハッキングによる不正アクセス・情報流出のリスクを軽減できます。多要素認証を実装したクラウドシステムであれば、Webシステム導入に懸念を持つ社内関係者の納得を得られやすいです。
また、クラウドサービス事業をもくろむ企業にとっても、多要素認証の実装とその安全性を周知することで顧客の支持を得られるでしょう。
多要素認証の導入事例
最後に、多要素認証の導入事例を取り上げます。現在社内に新規に認証システムを導入する場合はシングルサインオン方式が好まれるため、多要素認証はサービスの提供事業者に採用されることが多くなっています。
ここでは、公共機関における活用事例や、サービス提供事業者が多要素認証を実装した事例について紹介します。
公共機関の二要素認証の導入事例
官公庁や地方自治体では国民や住民の個人情報を取り扱うため、高い安全性が求められます。多要素認証の導入に際し、安全性はもちろん、運用における利便性、また国が定めるセキュリティガイドラインに対応しなくてはなりません。
なりすましの防止のため、登録の簡便さと確実性が高い指紋認証システムを採用した公共機関があります。業務によってはパソコンを持ち運んで作業することが多いため、小型の指紋認証デバイスを使用している機関もあります。
自社サービスの多要素認証の実装事例
国内の大手ITベンダーではクラウド型の「仮想デスクトップサービス(V-DaaS)」を提供しています。V-DaaSはユーザーの端末にOSやアプリを置かず、データもすべてクラウドに格納して高いセキュリティを保持できます。
ただしインターネットを経由するため、ID・パスワードのみの運用ではセキュリティリスクを懸念する顧客がいるといいます。そこで、V-DaaSのオプションとして、ID・パスワードにワンタイムパスワードを加えた多要素認証機能を提供しています。
なお、ハードウェアトークンレスのワンタイムパスワード方式を採用しており、顧客の利便性と構築コストの削減をともに実現しています。
まとめ
複数の認証要素を用いる多要素認証は、ID・パスワードだけの単一認証よりハッキングにより強いです。Webサービスの利用はもちろん、自社サービスの提供においても、多要素認証システムをぜひ検討しましょう。
