多要素認証とは?二要素認証・二段階認証との違いを解説
更新日 : 2024年05月17日
過去にキャッシュレス決済サービスの不正利用が起こった際、「二段階認証」がトレンドワードとなったことがありました。 多要素認証と二要素認証、二段階認証は名称こそ似ていますが、意味は異なります。 |
目次 |
YouTube動画でも解説しています
このコラムの内容はYouTubeに動画で公開しています。ぜひ合わせてご覧ください。
多要素認証とは
多要素認証(MFA:Multi-Factor Authentication)とは、PC・サーバーへのアクセス時やクラウドサービスへのログイン時などに、2つ以上の"要素"によって行う認証を指します。 |
認証の3要素
要素とは、大きく分けて下記の3つです。
1.知識要素
その人が知っている情報です。 知識要素を用いた認証方式には、ID/パスワード、PINコード、秘密の質問などがあります。 |
2.所有要素
その人が持っているものに付随する情報です。 例えば携帯電話やスマートフォンを使ったSMS認証やアプリ認証、ICカード、トークン(ワンタイムパスワードを生成する端末)などが挙げられます。 |
3.生体要素
その人の身体的な情報です。 顔や指紋、虹彩(目の膜)、声紋、静脈のほか、位置情報も生体要素に含まれます。 |
知識要素、所有要素、生体要素のうち、いずれか2つ以上の要素を使った認証が「多要素認証」です。
多要素認証の例と流れ
多要素認証の例として、スマートフォンアプリを使った認証コードによる「アプリ認証」が挙げられます。アプリ認証では、下記のような流れで2つの要素による認証が行われます。 多要素認証の流れ
|
▼ホワイトペーパーのサンプル▼ |
テレワークにおけるセキュリティ上のリスク、これからのテレワークに向けたセキュリティ対策を講じたい方向けにお役立ていただける資料をご用意させていただいております。 本ホワイトペーパーでは、テレワークの導入時に想定しておくべき課題と、注意すべきポイントを解説します。 |
多要素認証・二要素認証・二段階認証の違いとは
二要素認証とは、2つの要素を使った本人認証のことです。多要素認証の一部といえます。 対して二段階認証は、認証の段階を2回経て認証しますが、要素の数は問われません。
|
しかし、「パスワード」と「秘密の質問」はいずれも知識要素のため、一要素の認証です。 万一サイバー攻撃を受けた際は2つの知識要素が同時に流出する可能性も考えられることから、認証の"段階"が多ければ必ず認証が強固になるとはいえません。
二段階認証であれば二要素認証でもあるとは限らないため注意が必要です。 |
なぜ多要素認証が必要なのか
ID/パスワードによる本人認証方式のみを採用しているサービスでは、悪意のある第三者にID/パスワードを知られた場合、不正ログインによって個人情報流出やクレジットカードの不正利用などの被害に遭う恐れがあります。 また、ユーザーが複数のサービスで同じID/パスワードを使い回すことで、1つのサービスからID・パスワードが流出した際に他のサービスでも不正が実行される可能性があります。 |
多要素認証を取り入れれば、流出したID/パスワードで悪意の第三者がログインを試みた場合にも所有要素や生体要素での認証を要求するため、そう簡単にはログインを許しません。 多要素認証は、不正ログイン防止策として期待されているのです。 |
まとめ
今回は、インターネットにおけるセキュリティ強化策として必要性が指摘されている多要素認証について、その概要をご紹介しました。
近年はスマートフォンの利用を前提とした、利便性の高い多要素認証サービスも増えています。セキュリティ強化とユーザーの利便性、導入や運用コストも踏まえて、自社に最適な多要素認証サービスを選びましょう。