ここ1, 2年ほどで、急速に存在感を増してきた「多要素認証」。実際、「多要素認証」という語で検索される回数は、2年前と比べて2倍になっており、徐々に注目度が高まっている語であることが分かります。
しかし、残念ながら「多要素認証」という言葉は、まだまだ正しい理解のもとに使われているとは言い難く、また別な語と混同して利用している方が多くいるのが実情です。以下では、多要素認証について知っておくべき5つのポイントを、できるだけ分かりやすく紹介します。
1.認証の3要素とは何か
まず。「多要素『認証』」の認証という語について理解します。認証とは、システムやサービスが「この人はシステムを利用する権限がある」と判別することです。最も多い認証方法は「IDとパスワードを入力する認証」となります。
さて、この認証には3つの要素があります。
- Something they know (知識要素)
知識要素とは、「ある人が知っている、記憶している情報が認証要素」となるものです。最も有名なものとしてはパスワードです。 - Something they have (所有要素)
所有要素は、「ある人が持っているものにある情報が認証要素」となるものです。文字列が表示されるワンタイムパスワードトークン (OTPトークン) や、SMSなどが有名です。 - Something they are (生体要素)
生体要素は、「ある人がそのままの状態で『ある』、つまりある人の人体が認証要素」となるものです。指紋、静脈、虹彩などが有名です。
認証とは、これらの認証要素を、1つ、2つ、または3つ用いて行われます。例えば、「IDとパスワード」であれば、「知識認証が1つ」といった具合です。
2.Authenticatorとは何か
「パスワード」「トークン」「指紋」というような、具体的に認証を行う方法をカテゴリ分けしたものを、Authenticator (オーセンティケータ、認証子) と呼びます。
このAuthenticatorは、9つのタイプに分かれています。具体的には以下の通りです。
(上記表は、トラスト・ログインブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)
各タイプの右側には、具体的な認証方法、そして認証要素が記されています。例えば、「パスワードと乱数表で認証を行った場合、知識情報と所有情報の組み合わせで、2要素認証」といった具合です。
当社のクラウド型シングルサインオン製品「トラスト・ログイン」は、ワンタイムパスワード (OTP) 対応。
多要素認証を手軽に導入できます。
3.認証の強度とは何か
認証には「セキュリティ的に弱い認証」と「セキュリティ的に強固な認証」があり、何が弱くて、何が強いかについて明確に定義づけられています。この強度は、Authenticator Assurance Level (通称AAL)と呼ばれ、AAL1, AAL2, AAL3と3段階あります。数字が大きい方がセキュリティが高いことを意味します。
(上記表は、トラスト・ログインブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)
例えば、「パスワードのみ」の認証の場合、認証要素が「知識要素のみ=1要素」となるため、強度はAAL1となります。
「パスワード」と「ワンタイムパスワード」の場合は、認証要素が「知識要素と所持要素=2要素」で、所持情報はソフトウェアベースとなるため、強度はAAL2となる、といった具合です。
認証要素が2つ、もしくはそれ以上で、ハードウェアデバイスを利用した認証が含まれると「AAL3」となり、認証強度が最も高くなります。
4.「二段階認証」「二要素認証」「多要素認証」は何が違うか
次に、まぎらわしい3つの語についてご説明します。「二段階認証」「二要素認証」「多要素認証」という言葉は、似て非なる言葉ですので注意が必要です。
二段階認証 (Two Step Authentication) とは
二段階認証は、「認証が2段階(2ステップ)で行われる認証」を示す語で、「認証要素がいくつ含まれているか」を示す語ではありません。例えば、1段階目に「ID・パスワード」を入力した後、そのID・パスワードが正しかった場合に、2段階目として「第2パスワード」を入力するようなものです。
この場合は、「ID・パスワード」「第2パスワード」ともに、認証要素の「知識要素」となりますので、「2段階認証」を満たしますが、認証要素は1つしか含まれていないため、認証強度としては「AAL1」となり、相対的に弱いのです。
もちろん、「二段階認証でかつ、二要素認証」である場合もあります。しかし、認証の段階の多さと、認証の強度は関係がありません。このため、欧米圏では「二段階認証」という表現はほとんど用いられず、「二要素認証」「多要素認証」という語が用いられています。
二要素認証 (Two Factor Authentication) とは
二要素認証とは、「認証要素を2つ含む認証」を示します(英語の頭文字をとって「2FA」と略されることもあります)。例えば、認証に「IDパスワード(知識要素)」と「ワンタイムパスワード(所持要素)」の2つを用いると、2要素が用いられた認証なので「二要素認証」となります。なお、「二段階認証」とは異なり、認証のステップ数は問題ではありません。1ステップでの認証でも、2ステップでの認証でも、2つの認証要素さえ満たせば「二要素認証」となります。
上記の認証強度の表にある通り、2つの要素を持つ場合、認証強度は「AAL2」または「AAL3」となります。
多要素認証 (Multi Factor Authentication) とは
多要素認証は、「認証要素が2つ以上(複数)含む認証」であることを示す語です(英語の頭文字をとって、MFAと略されることもあります)。認証要素は「知識要素」「所持要素」「生体要素」の3つがありますが、このうちの2つ、または3つを含んでいれば「多要素認証」となります。
「多要素認証」と「二要素認証」との違いは、二要素認証が「認証要素が2つ」であることに対し、多要素認証は「認証要素が2つ以上 (3つでもOK)」であることを示していることのみです。
このため、多要素認証という語は、「二要素認証」とほとんど同じ意味の語として用いられます。認証の強度を示す「AAL」においても、最も強度の高い「AAL3」であっても3要素の認証は求められていません。つまり、最高レベルの認証強度を満たす場合であっても、認証要素は2つで十分であることから、認証要素が3つ使われることが少ないためです。
5.なぜ「秘密の質問」の利用は認証強度を高めないか
一昔前は、「認証強度を高めるために秘密の質問を使うべき」という流れがありました。パスワード認証に加えて、「母親の旧姓」「初めて購入した車のブランド」「好きな果物」といった、一般的には本人しか知りえない質問に回答することで、認証の強化を行うという考えです。
しかし、秘密の質問は多要素認証ではなく、複数の知識要素を用いた単要素認証です。つまり、「ID・パスワード」と同じ認証要素(知識要素)である「秘密の質問」を用いたところで、認証強度を高めるとは見なされなくなりました。よって、現在では秘密の質問の利用は推奨されていません。
・参考記事
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
現在でも多くのホームページにおいて、秘密の質問が利用されています。しかし、各サイトのシステム更新タイミングで、秘密の質問は次第に利用されなくなっていくものと考えられます。
多要素認証について正しく理解したうえで導入・活用する
多要素認証という言葉自体、まだまだ新しい言葉です。また、世界の電子認証に関する基準は、アメリカ国立標準技術研究所(NIST)が作成するガイドラインを用いられることが多いですが、このガイドラインも数年に一度変更となります。過去の情報が正しいと思い込むのではなく、都度、最新の情報に当たり、その時々で適切な認証を導入ください。
なお、クラウド型シングルサインオン製品である当社の「トラスト・ログイン」では、多数のサービスのIDパスワードをまとめて管理することができるだけでなく、パスワード認証とワンタイムパスワード(OTP)やクライアント証明書を併用して「多要素認証」として利用できます。
例えば、「トラスト・ログインのID・パスワード(知識要素)」と「ワンタイムパスワード(所持要素)」を併用すると、「AAL2」を満たす「多要素認証」となり、認証強度が高まります。クラウドサービスを利用している企業で、シングルサインオンならび多要素認証の導入を検討している企業は、ぜひトラスト・ログインの資料をご確認ください。
当社のクラウド型シングルサインオン製品「トラスト・ログイン」は、ワンタイムパスワード (OTP) 対応。
多要素認証を手軽に導入できます。