「多要素認証」が広がっています。前回のコラム『クレジットカード不正対策に必須!「本人認証サービス」の現在地』では、「本人認証」の重要性が改めて注目されていることを、お伝えしました。そこでも触れたように、セキュリティ強化のため活用されているのが、本コラムでご紹介する「多要素認証」です。

現在でも、IDとパスワードの組み合わせによる認証方式はまだ一般的ですが、パスワードの使い回しやサイバー攻撃によって無力化するリスクを孕んでいます。その点、「多要素認証」ならば、「別の要素との組み合わせ」で認証するため、第三者による不正ログインをかなり高い割合で防止できます。Microsoftが2019年8月に発表したレポート()によれば、多要素認証は不正ログインを99.9%以上ブロックできるとのこと。少なくとも現時点で不正ログインを防ぐには、多要素認証が有効な手段であることは間違いありません。

そこで本コラムでは、多要素認証の概要や、求められるようになった背景、そしてどのような種類があるかを解説していきます。

Microsoft「アカウントに対する攻撃の 99.9% を防ぐために実行できる 1 つの簡単な操作(英文)」
https://www.microsoft.com/security/blog/2019/08/20/one-simple-action-you-can-take-to-prevent-99-9-percent-of-account-attacks/

なお、株式会社Samuraiではサイトへの多重認証の仕組みをデフォルトで用意したサイト構築やアプリのご相談を承っておりますので、お気軽にお問い合わせ下さい。

多要素認証が必要になった背景

 IDとパスワードのみで認証する(ログインする)方法にセキュリティ上のリスクがあることは、以前から指摘されてきました。「ならば、より安全性の高い多要素認証に移行すればいい」と考えがちですが、意外とその動きは鈍いのが実情です。

象徴的なのが、2020年12月下旬に金融庁によって発表された「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査」()の結果でしょう。この調査は、前回コラムでも紹介した「ドコモ口座事件」の発生を受け、2020年9月30日からメガバンクをはじめとする計190の金融機関を対象に行われましたが、キャッシュレス決済などの決済サービスと口座連携している金融機関の約3割が多要素連携をしていませんでした。金融庁は金融機関に対し、2021年3月末までに多要素認証を義務付ける方針ですが、実に脆弱なセキュリティ体制であることが浮き彫りになりました。

金融庁「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に係る調査」
https://www.fsa.go.jp/news/r2/ginkou/20201225/01.pdf

一方で、多要素認証へ移行しやすい環境が整っていることも確かです。その環境とは、スマートフォンをはじめとするスマートデバイスの普及です。高性能なカメラが搭載されていることなどから、後述する「複数の要素」を1つのデバイスで実現できる機能を搭載しています。形はウェラブルデバイスなどに変わっていく可能性がありますが、スマートデバイスを携行して動くことが当たり前の時代となりつつある今後、それをベースに多要素認証を行う仕組みが構築されるのは間違いないでしょう。

多要素認証の仕組みとは。二段階認証、二要素認証との違いは?

改めて、多要素認証とは何でしょうか。その定義は、「2つ以上の要素によって本人確認を行う認証」ということになるでしょう。MFA(Multi Factor Authentication)と呼ばれることもあります。実はこの「要素」が、セキュリティを高めるうえで非常に重要な部分となりますが、その前に認識をややこしくしている2つの用語について説明しましょう。

「二段階認証や二要素認証という言葉もあるけど、どう違うの?」

これです。この2つの違いを把握すると、なぜ「要素」が重要なのかが見えてきます。

まず「二段階認証」とは、システムやサービスを利用するために2回認証を受ける方式のことです。単一の認証方法よりもセキュリティを強化できるという考え方のもとに編み出された方法ですが、サイバー攻撃のクオリティが上がっている今、認証の回数を増やすことでセキュリティが担保できるとは言えなくなってきています。実際、GmailやYahoo!メールの二段階認証を無効化するフィッシング詐欺も横行しています。

そこで着目されてきているのが「要素」です。ID・パスワードやPINコードのような数字、文字の羅列だけでない情報を組み合わせることで、セキュリティを強化しようというわけです。その中で、異なる2つの要素を用いた認証が「二要素認証」であり、異なる2つ以上の要素を用いるのが「多要素認証」です。つまり、「二要素認証」は「多要素認証」の1種なのです。

ちなみに、同じ要素を2つ以上用いても「多要素認証」とはなりません。重要なのは、次で説明する「異なる2つ以上の要素」を用いることです。そうすることで、前述のMicrosoftのレポートのように、不正ログインを99.9%以上ブロックすることができるのです。

多要素認証における「3つの要素」とは

多要素認証は、「知識情報」「所持情報」「生体情報」の3つの要素のうち、2つ以上を使用します。

「知識情報」とは、ユーザーのみが“知っている”情報のことです。IDやパスワード、PINコード、「秘密の質問」などが該当します。ユーザーの頭の中にある情報なのでなりすましは難しいと思えるかもしれませんが、たとえばメモ帳にパスワードが記されているなど、初歩的な人為的ミスで流出する情報でもあります。

「所持情報」は、ユーザーのみが“持っている”情報のことです。E-mailやSMS(ショートメッセージサービス)、ワンタイムパスワードなどがそうです。これは、当人が所持していることを前提としていますので、誰かに盗まれた場合などは安全性がまったく担保されません。

「生体情報」とは、ユーザー“自身の特徴”に関する情報です。指紋や顔、虹彩、網膜、顔、静脈などがそうです。世界に1つしかない身体的な特徴をもとにセキュリティを担保するため、もっとも安全な認証方法とされています。前回コラムでも紹介したように、日進月歩で精度が向上しているほか、認証機器の価格も下がっているため、今後多要素認証の核となる要素となりそうです。

多要素認証における『3つの要素』である、知識情報・所持情報・生体情報の説明

多要素認証の種類とそれぞれの特徴

認証の要素
認証方法
特徴
知識情報
ID・パスワード付与されるIDとユーザーのみが知るパスワードを組み合わせた認証方式
暗証番号・PINコード数字のみだが、効率的なため金融機関のATMなどで広く使われている。セキュリティレベルは非常に低い。
秘密の質問質問と回答の組み合わせで、ID・パスワードを忘れた際などに活用されることが多い。
所持情報
ICカード社員証や交通系ICなど。複製が難しいとされているが、カードなので紛失や盗難のリスクと常に隣り合わせ。
ワンタイムパスワード定期的に更新されるランダムな数字列。一度使った数字を再利用できず、複製が難しいことから比較的使われることが多い。
USBトークンUSBメモリのような形状で、内部に電子証明書の鍵を保存する仕組み。ICカードと同様の技術でつくられており、USBポートに差し込むことで認証する。
SMS認証携帯電話の電話番号へメールを送信する仕組み。ショートメッセージサービス。SMSにワンタイムパスワードを送信し、それを入力して認証する。
E-mail認証E-mailアドレスにワンタイムパスワードを送信し、その内容を入力して認証する仕組み。E-mailには様々なデバイスからアクセス可能なため、セキュリティレベルは低い。
ボイスコール携帯電話に着信し、自動音声でワンタイムパスワードが読み上げられる。それを入力して認証する仕組み。
生体情報
顔認証カメラでユーザーの顔を認識し、認証する仕組み。
虹彩認証・網膜認証目の虹彩や網膜で認証する。読み取る専用のデバイスが必要となる。
指紋認証指紋を読み取る専用のデバイスで認証する
静脈認証手の静脈を読み取る専用のデバイスで認証する

多要素認証を導入するメリット

多要素認証を活用する最大のメリットは、セキュリティの向上です。前述のMicrosoftの調査結果のように、現時点では不正ログインがほぼ不可能。銀行口座と連携したキャッシュレス決済サービスも、多要素認証が導入されていれば「ドコモ口座事件」のようななりすましや不正出金リスクを考慮する必要がないのです。

ユーザーの利便性も確実に向上します。まず、複数のパスワードを管理する手間が不要となり、パスワード忘れを恐れるあまりにメモ帳やPCモニターへ貼る付箋にパスワードを記し、情報漏えいのきっかけになるといった初歩的なミスがなくなります。

そして、「所持情報」による認証の場合、ユーザーはスマートフォンなどのスマートデバイスや社員証ICカード、交通系ICカードなどを持ち歩けば事足ります。さらに、顔認証や虹彩認証のようなユーザー自身の特徴である「生体情報」を用いる認証ならば、デバイスを持ち歩く必要すらなくなるのです。

そういった点から、多要素認証は広がりはじめており、例えばQRコード決済などでも導入が広がっております。下記コラムでもご紹介しておりますので、興味のある方はぜひ御覧ください。

QRコード決済の仕組みとは?技術やセキュリティの面から解説

幅広いソリューションに発展する可能性も

強固なセキュリティとユーザー利便性を両立させる多様性認証。前述のように、金融機関で義務付けられれば、キャッシュレス決済サービスの安全性は飛躍的に向上するでしょう。そうなると、店舗などの決済の接点も様変わりするでしょうし、そこから一歩進めて考えれば新たなビジネスモデルの創出起点となる可能性は十分にあります。

Samuraiでも、キャッシュレス決済サービスを顔認証を連携させたソリューションを開発するほか、様々な認証方式に対応するなど、新たな可能性のサポートに力を注いでいます。「こんなことはできるだろうか」といった漠然としたものでも、ぜひお気軽にお問い合わせください。

前の関連コラム:クレジットカード不正対策に必須!「本人認証サービス」の現在地