会員サイト構築の記事
ARTICLE多要素認証(MFA)とは|二要素認証との違いや安全性と構築時の手順や注意点
多要素認証(MFA:Multi-Factor Authentication)は、主として各種Web上のサービスを正規のユーザーが安全に利用するための認証の仕組みです。ここでは二要素認証との違いや多要素認証導入のメリットや導入手段とその安全性について述べると共に導入時の注意点について解説していきます。
目次
多要素認証(MFA)とは?
多要素認証について説明すると共に、求められる社会的背景と認証を行うための要素について解説していきましょう。
多要素認証とその目的
多要素認証(MFA:Multi-Factor Authentication)とは、システムへの不正なログインを回避し、登録された利用者のみが安全に利用できる仕組みです。ログインする際にユーザーIDとパスワードに加え、スマートフォンへセキュリティコードが書かれたSMSメッセージを送ってシステムにそのコードを入力させる、指紋、静脈などの生体情報を認証に利用するなどし、合計2種類以上の要素で認証をさせる仕組みのことをいいます。
多要素認証が求められる社会的背景
Web上で提供される各種サービスとしてSNS、オンラインショッピングなどさまざまなサービスが提供され、サイトの数や取引金額を含めその規模は拡大の一途をたどっています。とりわけECに伴う決済処理を行うサイトにおいては、ユーザーのクレジットカード情報など非常に繊細な情報を扱うため、対応を慎重にせざるを得ません。
他方で、ユーザー情報の漏洩やハッキングが頻繁にニュースで流されている現状を踏まえると、サイトの主催側企業はこれらのセキュリティ問題、中でもユーザーの認証方法に対して一層、安全な方式の利用は必須であると認識しています。
従来使われてきたユーザーIDとパスワードによる認証のみでは、残念ながらセキュリティ的に不安が残るとも言えるため、これを補完し強化することによって安全な認証とするために多要素による認証が利用されます。
例えば、1回目(1段目)の認証としてユーザーIDとパスワードを使用し、2回目(2段目)の認証として、さらに、1段目とは異なる認証方法で認証を行います。これにより、仮に1回目の認証におけるユーザーIDとパスワードが知られてしまったとしても、2回目の認証が残っていますので、そこで食い止められます。このように従来の1段階のみの認証方法に比べ、強固な認証とすることが期待できます。
多要素認証と二要素認証・二段階認証の違い
二要素認証とは
二要素認証とは、ユーザーIDとパスワードによる認証に加え、認証三要素のうちの知識の要素を除く所有の要素または生体情報の要素による認証を+1回(段階)行い、合計で2回(段階)の認証を行わせる認証方法です。
多要素認証は2種類以上の認証要素を用いて2回以上の認証を行う認証方法のことをいいます。二要素認証は2種類の認証要素を用いて2回の認証を行いますので、多要素認証に含まれます。
二要素認証では2回の認証を行い、それぞれの認証は異なる認証要素を使わなければなりません。2回の認証を同じ認証要素で行うことを二段階認証といい、二要素認証とは呼びません。
二要素認証とは?二段階認証との違い・意識することや導入ポイントも
二段階認証とは
二要素認証に似た認証方法として二段階認証もあります。二段階認証とは、任意の認証方法により2回認証を行う方法です。従って、さらに第1のユーザーIDとパスワードで認証後、第2のユーザーIDとパスワードで認証するとこれは二段階認証になります。
2種類の認証要素を用いなければ、単に2回の認証を行ったとしても多要素認証とは言えません。
二段階認証とは?二要素認証との違いや安全性と構築時の手順や注意点
認証を行うための3要素
一般的に認証を行うための手段として3つの要素に分類できます。それぞれの要素について解説していきましょう。
知識の要素
知識の要素とは人の知識や経験によって生み出される情報です。「小学校の名前」「最初に購入した車」「一番好きな観光地」などを設定するのもこの知識の要素を活用したものです。パスワードの設定において、自身や家族の生年月日など容易に類推が可能である数字列を設定することは、ハッキングを防ぐために避けなければなりません。
所有の要素
所有の要素とはPCやスマホ、タブレットに加えセキュリティトークンなど、自身で保有するものを指します。ユーザーIDとパスワードで認証を行った後に、登録済みのスマホやタブレットにショートメッセージ(SMS)を送り、そこに書かれたURLをクリックすることにより認証を行う二段階の認証手段としてよく使用されます。スマホやタブレットへのSMSの替わりに定期的に乱数を発生させるセキュリティトークンを使用した二段階認証もよく使われます。
生体情報の要素
生体情報の要素とはその名の通り、我々の体の各部分の特徴を使用して認証の要素とすることです。指紋情報、静脈情報、虹彩情報や顔情報などを利用します。これらの体の特徴は、どれも1人1人異なる特徴を有することから認証の要素として使われています。指紋情報は最も古くから使われてきましたが、その範囲は限定的でした。それ以外の要素についても限定的な利用がなされてきましたが、これはコンピュータの処理スピードの問題が非常に大きいといえます。昨今では処理スピードが飛躍的に向上してきたこともあり、利用範囲を広げています。
3要素(知識・所有・生態情報)のメリットとデメリット
認証を行うための3要素(知識・所有・生態情報)について、それぞれのメリットとデメリットについて解説します。
| メリット | デメリット | |
| 知識 | ・手軽に利用できる | ・セキュリティリスクが高い |
| 所有 | ・セキュリティリスクが低い | ・手間がかかる |
| 生体情報 | ・情報漏洩のリスクが低い | ・利用開始まで時間がかかる |
【知識】
知識の要素のメリットは、何かを特別に用意する必要がないため手軽に利用できるということです。一般的に使われている認証方法であるため、違和感なく使うことができるでしょう。
デメリットとしては、パスワードの流出やハッキングなどが起こる可能性が高いということです。パスワードが文字や数字の組み合わせだけで成り立っているので、どうしてもセキュリティのリスクが高くなってしまう傾向があります。
【所有】
所有の要素のメリットは、本人のデバイスを使った認証方法であるためセキュリティリスクを抑えられるということです。
ただし、デバイス自体が盗難されてしまったり、あなたの知らない間に不正利用されてしまう可能性もあるため注意しましょう。また、ワンタイムパスワードを生成して入力をしたり、コードを別のデバイスに送信してから入力する必要があることから、手間と負担がかかると感じる方もいるでしょう。
【生体情報】
メリットはあなたの生体情報を利用するため、特別な道具が不要なことと盗難による情報漏洩のリスクが極めて低いということです。
デメリットは生体情報の設定や登録に時間がかかる場合があるということです。また、完全に不正利用されないとは言い切れませんので、生体情報による認証を過信しすぎないようにしましょう。
多要素認証を導入するメリット
多要素認証を使用するメリットとしてまず上げられるのは、セキュリティレベルを大きく改善できる可能性が高い点です。
ユーザーIDとパスワードのみの認証(単要素による認証)の場合、セキュリティ的な弱さをどうしても拭い去ることはできませんが、もう一つの要素として、たとえば生体認証を使用することにより安全性を高めることが可能となります。生体認証は、第三者が正規利用者になりすましてシステムへ不正なログインに成功することは困難なレベルの強度を持っているからです。
二点目のメリットとして挙げられるのはユーザーの利便性向上です。前述の通りユーザーIDやパスワードによる認証のみの場合、常に複雑なパスワードの設定や定期的な変更に苦慮しますが、これのかわりに生体認証を使えば、設定変更の手続きは不要です。
多要素認証を導入するデメリット
多要素認証を導入するデメリットは、大きく2つあります。
一つは、導入と運用にコストがかかるということです。
多要素認証の導入に伴い、ICカード、カードリーダー、SMS認証用の端末などが必要になることがあります。場合によっては、専用のサーバーを用意したり、業者に構築作業を依頼することもあり得るでしょう。従業員の利用者数によっては、導入コストと利用料の支払いでコスト負担となってしまいます。
二つ目は、利用者の利便性が低下するということです。
多要素認証を利用する場合、「ID&パスワードの入力→ワンタイムパスワードの入力」、「ID&パスワードの入力→SMS認証」や「生体認証→SMS認証」など最低でも2要素以上の認証が必要となります。
そのため、パソコンで入力してからスマートフォンでの操作が必要であったり、認証作業に時間がかかってしまったりと、利用者によっては面倒くさいと感じる人も出てきてしまいます。
多要素認証の導入と代表的な方法
多要素認証の導入と、その実現手段について解説していきましょう。
多要素認証の導入
多要素認証の対象サービスと認証用APIを利用した実現手段について解説していきましょう。
多要素認証の対象サービス
認証手段を必要とするサービスは企業内における各種の業務用システムや民生用の各種サービスを展開する多くのシステムにおいても、必須の機能です。これらの中で、特にECサービスの提供にあたり、決済機能を持つサイトにおいてはセキュリティ的に高い安全性が必要となるため多要素認証の対象サービスの1つと考えられます。そのほかのサービスにおいてもユーザーの個人情報や秘匿度の高い情報を管理するサイトにおいては、EC機能を持つサイトと同様の理由で多要素認証の対象サービスと考えられます。
認証機能の構築方法
多要素認証を構築するためのソリューションが各ベンダーからリリースされています。これらのベンダーは自社で構築したサービス提供用のサーバー上にて多要素認証を動かすためのアプリとAPIを用意しています。ユーザー企業は、自社で稼働させている各種サービスからベンダーが提供するAPIを呼び出すことで多要素認証を比較的容易に実現できるようになっています。自社でAPIによるつなぎこみが技術的に困難である場合には、サービスを提供するベンダーにつなぎこみまで委託する方法も考えられます。これがクラウド型ソリューションです。
クラウド型の場合、基本的にすでに完成されているソリューションを利用し、必要なパラメータやオプションの設定をするだけですので、早期に多要素認証サービスが開始できるメリットがあります。
システム構築の経験と技術力、加えて対応するためのマンパワーを有し、対応するための期間がかかることをある程度許容可能な場合には、自社にて多要素認証構築用のサーバーを用意し、その上でアプリを稼働させるアプローチが可能です。これがオンプレ型開発です。
オンプレ型の場合、アプリの調達方法も2つのアプローチが考えられます。自社で作ってしまう方法とベンダーのソフトウェアを購入してサーバー上にポーティングする方法です。サーバーにしてもソフトにしても自社で開発すれば、それだけ自社のニーズにあわせて仕様を作り、それに基づいて構築できるメリットがあります。
多要素認証の代表的な方法
多要素認証を実現させるための知識、所有、生体情報の各要素を利用した代表的な方法について解説していきましょう。
パスワード
パスワードは一般的にユーザーIDとの組み合わせで認証する方法で最も長い間利用されてきた方法といえます。知識要素を利用することからユーザーの知識や経験に基づき作り出される情報であることから、第三者が容易に類推可能な文字列や数字列は、意識して回避しなければなりません。
また、運用方法として、最低文字数を決め、最低限〇カ月以内に変更する、過去に設定した同じ文字列は禁止、英字と数字と大文字と小文字をそれぞれ1つ以上含むことなどを取り決めることにより、安易な文字列となることを回避するような工夫が必要です。
ワンタイムパスワード
ワンタイムパスワードはUSBメモリスティックと同じような形状をしており、内蔵するLCDに数桁の英数字が表示できるセキュリティトークンと呼ばれるデバイスから生成されます。セキュリティトークンは一定時間単位で自動的に数桁の乱数を発生させ、これをLED上に表示させます。
ユーザーはこの数字をそのまま認証用文字列として、システムの入力要求画面にインプットすることによって認証する流れになります。最近ではこのセキュリティトークンの替わりに、スマホのアプリでセキュリティトークンと同様に乱数を生成させる方法もあります。
パスコード
パスコードはスマホやタブレット端末による所有要素を利用した認証方法です。一般的にユーザーIDとパスワードによる認証と組み合わせて使用します。あらかじめ登録しておいた電話番号を利用してショートメッセージ(SMS)を送り、ユーザーはそこに書かれている数字列を認証用の文字列として、システムの入力要求画面にインプットすることにより認証する流れです。最近ではECサイトやSNSサイトにおいて、ユーザーIDとパスワードの認証完了後の2段階目の認証手段としてよく使われています。
乱数表認証
あらかじめユーザー毎に異なる数字列が表中に記載された乱数表を配布しておきます。乱数表は2次元の表の中にランダムな数字が書き込まれたものです。システムの認証画面において、システム側が指定する行と列の欄に記載された文字列を複数回にわたり認証画面に入力していくことで認証処理を行う方法です。銀行のオンラインバンキングにおいてよく利用されています。
デバイスを利用した認証
USBメモリスティックと同様の形状をしたデバイスをPCに接続して使用する方法です。これも所有要素の一方法といえます。PCとの接続はUSBもしくはBluetoothを利用します。本デバイスを所有していること、すなわち本デバイスがPCにつながっていることが正規ユーザーの証となります。
生体情報を利用した認証
生体情報を利用した認証とは、人の顔、指紋、静脈、虹彩など個人個人で異なる特徴を有する体の部位を認証情報として利用する方法です。
顔の形や大きさ、顔の中のそれぞれのパーツを含めて考えると完全に同じ顔の作りの人はまずいません。一卵性双生児といえども、細かく見ていけば同じではありません。従って、顔による認証は有効ですが、システムに組み込んで人の顔を認識するためには、極めて高速な処理が求められます。
指紋による認証は歴史のある認証方法です。人によって同じ形状の指紋はありません。技術的に成熟していることもあり、比較的安価に実現可能な特徴があります。但し、職業によっては指紋が薄くなってしまい、認識できないケースもあるためこの様なケースに対応するため、ほかの生体情報やほかの認証要素を利用した代替手段を用意しておく必要があります。
静脈は表面上は見えにくいものですが、その形状や構造は、人それぞれ異なることから認証手段として利用されています。虹彩とは瞳孔の周辺のしわのことで、このしわの形状も人によってそれぞれ異なり、左右の目によっても形が違うことから認証手段として利用されています。
多要素認証導入時の注意点
多要素認証を導入する際の主な注意点について解説していきましょう。
認証要素毎の注意点
認証要素毎の多要素認証導入時の注意点について解説していきます。
知識認証の場合
知識認証は人の経験や知識に基づき生成した数字や文字列の組み合わせです。従って、自身や子供もしくはそのほかの近親者に関係し、容易に類推可能である文字列や数字などの使用は回避しなければなりません。第三者にハッキングされてしまう可能性が高くなるためです。逆に、ハッキングされる可能性をできる限り小さく抑えるために、定期的に設定した文字や数字列によるパスワードを変更すべきです。
所有物認証の場合
スマホやタブレット、PC、セキュリティトークンなどによる所有物認証は、生成される文字列や数字列が複雑であるためハッキングされる可能性は小さく、非常に効果的な認証手段です。しかし、これらのデバイスを紛失してしまった場合、悪意ある第三者に悪用される可能性があります。従って、デバイスの管理に細心の注意を払うことが必要です。
生体情報認証の場合
人の生体情報である顔情報、静脈情報、指紋情報、虹彩情報を利用する生体情報認証もなりすましによるシステムへのログインは、実質的に不可能であることから認証手段としては優れているといえます。ただし、ハンディキャップのある人が、認証に必要な生体情報を使えない場合を想定し代替手段を用意しておく必要があります。
そのほかの注意事項
二要素認証としてスマホやタブレットを利用したパスコードによる認証があります。一般的に一要素目の認証としてユーザーID、パスワードを使用し二要素目の認証としてこのパスコードによる認証が使われることがあります。一要素目の認証成立後、認証システムはあらかじめ登録されたスマホやタブレットの電話番号あてSMSを送信します。ユーザーは送られてきた数桁の数字をシステムの認証画面のしかるべき位置に入力してやることにより認証に成功します。
ここで、スマホやタブレットのプッシュ通信が有効に設定されていると、スマホやタブレットのロック画面上にメッセージが表示されるため、このコードを盗まれる可能性があります。従って、認証にSMSを使う場合には、プッシュ通信を無効化しておかなければなりません。
ハッキングされた場合の5つの対処法
万が一、多要素認証がハッキングされてしまった場合の対処法を5つ紹介します。
アカウントを停止する
ハッキングが発覚した場合には、まずアカウントを停止して被害を最小限に抑えてください。被害直後は気が動転しやすいので、普段からサービスの運営元の問い合わせ先を控えておき、すぐに連絡が取れるようにしておきましょう。
パスワードを変更する
ハッキングの疑いがある場合は、すぐにIDやパスワードの変更を行いましょう。
ただし、IDやパスワードを変更するときにはハッキングの疑いがある端末で変更することは避けてください。端末自体が乗っ取られている可能性があり、IDやパスワード情報が再び盗み取られる恐れがあるからです。
疑わしいアプリをアンインストールする
ハッキングが疑わしいアプリをアンインストールすることも対処法の一つです。
自身で身に覚えのないアプリや見たことのないアプリがあれば、画面から削除するのではなく、必ずアンインストールするようにしましょう。
また、アプリをアンインストールする前には、アプリ内で退会手続きをとることを忘れないでください。なぜなら、不正アプリの多くは毎月の支払いを請求するような契約になっているので、契約を解除しないままだと支払いを続けることになってしまうからです。
近年では様々な不正アプリが開発され、気づかない間にインストールされてしまっているケースもあります。不正アプリの存在に気づきやすくなるよう、普段から画面を整理整頓しておくこともハッキングを防ぐ手立てとなるでしょう。
設定を初期化する
端末を初期化すると、ハッキング元となっている不正アプリなども削除されるので、ハッキング被害を止めることができます。
ただし、この方法には欠点があります。端末の初期化に伴い、ハッキングの手掛かりとなるデータやキャッシュまで削除されてしまうということです。端末を初期化する際には、このことを念頭に置いておきましょう。
専門の業者に相談する
1番確実で安心できる対処法は、ハッキング調査専門の業者に相談することです。
素人ではそもそも調べるだけで時間がかかってしまい、対処できたとしても不安に感じてしまうことがあるでしょう。その点、プロの業者に依頼すればコストはかかりますが、速やかな原因の解明や適切な処置が期待できます。
業者自体の選定をしっかり行う必要はありますが、より確実に対処を行える方法といえるでしょう。
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
まとめ
多要素認証について説明し二要素認証との違いや多要素認証導入のメリット、導入の実現手段とセキュリティ面における安全性や導入時の注意点について解説していきました。多要素認証をシステムに導入する場合は、採用したい認証要素の絞り込み、導入方法、導入コストを含めしっかりと計画を立てたうえで1つ1つ進めていってください。
