多要素認証とは何か
多要素認証とは、端末やサーバーへのアクセス、インターネットサービスへのログイン時などに、2つ以上の要素が必要となる認証方式である。
1つの認証方式のみを用いる認証よりも、2つ以上の認証方式を用いるほうがセキュリティが高く、不正アクセスを受けにくいことが、多要素認証が導入されている理由といえる。
認証の3要素とは何か
認証は大きく3通り(3つの要素)に分けることができる。
(1)生体情報
指紋、静脈、顔、声、虹彩など、人体を利用した認証方式
(2)知識情報
パスワード、属性情報、秘密の質問など、本人のみ知っている情報を利用した認証方式
(3)所持情報
物理トークン、携帯電話・スマートフォン、ICチップ搭載カード、SMSから送信されたコードなど、物理デバイス(ならび物理デバイスで受信した情報)を利用した認証方式
多要素認証では、これら3要素のうち2要素もしくは3要素を併用する必要がある。
一般的な多要素認証にはどのようなものがあるか
我々の身の回りで用いられている多要素認証には、以下のようなものがある。一般的にID・パスワードと併用されているものを以下にて取り上げる。
(1)乱数表(例:新生銀行)
支店番号・口座番号(ID情報)
ログインパスワード(パスワード情報)
+
50マスの乱数表から指示された3マスを入力
(2)ワンタイムパスワード(例:ジャパンネット銀行)
店番号・口座番号(ID情報)
ログインパスワード(パスワード情報)
+
口座振込時はトークンに表示されるワンタイムパスワードが必要
(3)SMS(例:Googleアカウント)
登録メールアドレス(ID情報)
ログインパスワード(パスワード情報)
+
これまでアクセスがないIPアドレスからのログイン時はSMSで送信された番号入力必要
(4)QRコード(例:WeChatでPCからアクセス)
スマートフォンでアプリ登録時にID入力(ID情報)
スマートフォンでアプリ登録時にパスワード入力(パスワード情報)
+
パソコン画面に表示されたQRコードをスマートフォンのWeChatアプリで読み取り
+
スマートフォンで認証許可ボタンをタップ
(5)ICカード(例:従業員がインターネットからイントラネットにアクセス)
登録番号や企業メールアドレス(ID情報)
ログインパスワード(パスワード情報)
+
ICカードリーダーを利用した物理チップの認証
(6)指紋(例:iPhone, iPadの認証)
スマートフォン起動時にパスワード入力(パスワード)
+
AppStore購入決済時に指紋認証
このように、「ID+パスワード」に加えて、他から取得した情報を追加で入力することでセキュリティを高めている。
なお、2018年1月時点で、特に多く用いられているのは上記(3)のSMSを利用した認証である。一般的には、通常とは異なるアクセス(普段利用していないIPアドレス、これまでログインした履歴のない国、最後のログインから長期間経過など)があるとサービス提供者に判断された場合に、不正アクセスを防ぐために利用されている。SMSにより送信される5-6桁程度の数字情報を、ログイン画面に追加で入力するとログインが可能となり、以後は同一のIPアドレスや国からのアクセスに関しては再度のSMS送信が必要なくなるのが一般的である。
そして、上記(1)と(2)については、ネットバンキングやネット証券などの金融機関で利用される場合が多い。金融機関口座に不正アクセスされると、口座の残高(お金)が持ち去られる可能性があり、他サービスの不正アクセスと比べて損害が大きい。この方法は、ログイン時にIDとパスワード入力後、乱数表が記載されたプラスチックのカードや、ワンタイムパスワードが表示された物理トークンの情報を追加入力して、セキュリティを高めている。
(4)のQRコードについては、スマートフォン登場後に一般的に利用されるようになっている。ログイン時に、スマートフォンのQRコードリーダーで読み取りを行うことで、登録されたスマートフォンからのアクセスかどうかを判別できるため、利用が増加している。
(5)のICカードリーダーの利用は、2000年代前半から広く行われている。企業内のイントラネットにVPN接続する際に、ICチップが付帯したカードをパソコンのカードリーダーに差し込んで認証させている。これはパソコン前提の認証方法である。
(6)は指紋など生体を利用した認証であり、主にスマートフォンでの認証に用いられている。生体認証は指紋、顔、静脈などが多いが、指紋が最も多く、次いで最新のiPhoneが採用した顔認証が今後増加すると見られている。
上記以外には、USBドングル認証(ドングルのみの認証、またはドングルと専用パスワードを併用する認証)などが存在する。
多要素認証の強度についてどう理解すればよいか
多要素認証の強度について、2017年6月にアメリカ国立標準技術研究所(通称NIST)が「Electronic Authentication Guideline」(電子的認証に関するガイドライン。以下「本ガイドライン」)の最新版で言及されている。
本ガイドラインによると、生体情報、知識情報、所持情報に紐づくそれぞれ具体的な認証方法が全部で9つある。この9つのうち、生体情報、知識情報、所持情報のいずれか2つ、もしくは3つを満たす具体的認証方法が利用されていれば、多要素認証となる。
そして、守るべき情報の種類によって (1) 「1つの認証タイプのみでOK(多要素認証でなく『単要素認証』)」、(2) 「2つの認証タイプが必要」、(3) 「2つの認証タイプで、うち1つは物理デバイスが必要」という3段階のレベル分けがされている。
セキュリティ強度は、(3)が最も高く、次に(2)が高く、最も低いのが(1)となる。
では、セキュリティ強度が高い(3)を全ての認証に要求したほうがよいか、というとそうではない。ここで考えるべきは、「多要素認証は手間がかかる」という点である。
例えば、万が一情報漏えいして不正アクセスを受けた場合の損害が「ID・パスワード・メールアドレスの漏えい」のみか、「ID・パスワード・メールアドレスの漏えいと、口座預金の不正送金」かによって、漏えい時の損害が大きく異なる。
よって、情報漏えいしたところでそこまでの損害がない場合は「単要素認証」で十分とされるのが一般的である。逆に、不正アクセスにより多大な金銭的損害が出る場合は「2つの認証タイプで物理デバイスが必要」とするのが一般的で、守るべきものに応じて使い分けが必要となる。
なお、詳細については弊社が作成した記事をご覧頂きたい。
・参考ページ
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
多要素認証・単要素認証・二要素認証・二段階認証は何が違うか
ここでは、「認証の要素数」と「認証の段階数」という別の2つの内容について説明する。
まず、認証要素だが、1つの要素しか用いられていなければ「単要素認証」と呼ばれる。そして2つ用いられていれば「多要素認証」または「二要素認証」となる。多要素認証は複数の要素を用いられていれば使える語なので、認証要素が2つの場合でも、3つの場合でも用いることが可能だ。
次に、認証の段階数だが、これは一段階か二段階かで考えるとよい。IDパスワードを入力するとすぐにシステムやサービスにログインできるのは一段階の認証である。IDパスワードを入力した後、画面が切り替わって追加の情報の入力を求められる、追加情報を入力しないとシステムやサービスにログインできないのが二段階認証である。
上記を踏まえると、それぞれの状況で用いることができる呼称は以下の通りとなる。
- 認証要素が1つで、一段階の場合、「単要素認証」。
- 認証要素は1つで、二段階の場合、「単要素認証」かつ「二段階認証」。
- 認証要素は2つで、一段階の場合、「多要素認証」「二要素認証」。
- 認証要素が2つで、二段階の場合、「二段階認証」かつ「多要素認証」「二要素認証」。
- 認証要素が3つで、一段階の場合、「多要素認証」。
- 認証要素が3つで、二段階の場合、「二段階認証」かつ「多要素認証」。
多要素認証で用いられる方法の変化と今後
パソコンよりもはるかに多くの台数のスマートフォンが出荷され、様々なネットサービスの利用に用いられるようになったことは、多要素認証においても多くの変化をもたらすことになった。
スマートフォンは片手、もしくは両手で持って操作し、外付けのデバイスを接続させないのが普通であることから、ICチップが入ったカードリーダーや物理トークンが多要素認証の要素として用いられるケースが減少している。またスマートフォンの大型化により「片手で別なものを持ち、もう片手で操作する」ことが難しくなっていることから、プラスチックカード型の乱数表も以前より用いられなくなっている。
逆にスマートフォンと相性がよいのは、SMSによる認証やQRコードによる認証など、電話機能やカメラ機能を利用してスマートフォン単体で複数の認証方式を利用できるタイプの多要素認証である。また、iPhoneやAndroidの新型機の多くが指紋認証機能を搭載していることから、パスワードと指紋認証を併用して決裁を行うパターンも増えている。そして、2017年に発売された iPhone Xでは、顔認証が搭載され、生体認証方式が新たに加わっている。
このように現在の流れとしては、スマートフォン単体で多要素認証が完了できるのが一般的で、新しいサービスの多要素認証はスマートフォン利用を前提としている。今後、スマートフォンの機能が追加されてくるに従って、新機能に対応した認証方式が追加されてくると考えられる。