MFA(多要素認証)
Overview
多要素認証(MFA)とは、ユーザーがサービスやアプリケーションへアクセスする際に、複数の認証形式を提供するよう求めるセキュリティ対策。
多要素認証の定義
MFAの背後にある考え方は、ユーザが自分の身元を証明する上で追加の証拠を提供するよう要求することで、従来のユーザ名とパスワードを超える追加のセキュリティ層を提供すること。
この追加の証明は認証要素と呼ばれる。
認証要素には、4つのタイプがある。
- 知識情報:これには、パスワード、PIN、秘密の質問に対する答えなどがある。
- 所持情報: これは、スマートカードやUSBセキュリティキーのような物理的なトークンであったり、ユーザーのスマートフォン上の認証アプリによって生成された仮想トークンの場合があります。これらの仮想トークンは、ワンタイムパスワード(OTP)またはタイムベース・ワンタイムパスワード(TOTP)と呼ばれている。
- 生体情報: 指紋、顔認証、虹彩スキャンなどの生体認証情報。
- 位置情報: 地理的な位置。アプリやサービスの中には、特定の地理的な場所にいるユーザーにしかアクセスできないものがあります。この特定の認証要素は、ゼロトラストセキュリティ環境で頻繁に使用されています。
MFAシステムでは、2つの異なるカテゴリーから少なくとも2つの要素を提供するようユーザーに要求します。これは、以下の例によって最もよく説明されます:
パスワードとPINの両方を入力しなければならないシステムは、MFAを搭載しているとは言えません。なぜなら、これらの要素はどちらも「知識情報」のカテゴリーであるからです。 ATMマシンは何十年も前からMFAを使用しています。ATMカード(所持情報)を挿入し、PIN(知識情報)を入力する必要があります。 ATMだけでなく、メールやオンラインバンキング、クラウドストレージなどのオンラインアカウントのセキュリティや、建物や安全な場所への物理的なアクセスにも、MFAは広く活用されています。
MFA と 2FA の違いとは?
2FAとは、二要素認証を表しています。2FAとMFAの違いは、2FAが2つの認証要素しか必要としない認証方式を指すのに対し、MFAは2つ以上の認証要素を必要とする方式を指す総称であることです。
したがって、先ほどのATMの例は2FAの例ですが、MFAと呼ぶことも間違っていません。逆に、カードやセキュリティキーを挿��入し、暗証番号を入力し、指紋をスキャンする必要があるシステムは、MFAであり、2FAではありません。
MFAが提供する保護機能とは? 漏洩したパスワードは、データ侵害やランサムウェア攻撃の最大の原因となっています。MFAは、攻撃者がアカウントを侵害することを飛躍的に困難とすることで、パスワードに関連するサイバー攻撃を防止します。仮に脅威者が有効なパスワードを入手できたとしても、追加の認証要素がなければ意味がありません。Microsoftの統計によると、MFAはアカウント侵害攻撃の99.9%以上を阻止できることが明らかにされています。
このため、MFAはITコンプライアンスにおいて大きな役割を担っています。多くの業界や規制のコンプライアンスフレームワークは、組織が内部システムを保護するためにMFAを実装するよう求めています。また、ユーザーを明示的に認証することを要求するゼロトラスト・セキュリティフレームワークを導入する上でもMFAは不可欠なものです。
また、MFAを導入することで、組織がセキュリティに真剣に取り組んでおり、ユーザーの情報保護に尽力していることを示すことができるため、システムに対するユーザーの信頼を高めるのにも役立ちます。