最近では、ビジネスにおいてもWebサービスやクラウドサービスの利用が急速に増えています。これまでは、サービスなどへの認証には、IDとパスワードの組み合わせが主な認証手段でしたが、この方法だけではセキュリティ上のリスクが高まり、不正ログインの被害も増えています。また、同じパスワードを複数のサービスで使うことは便利ですが、セキュリティ上の脆弱性をもたらします。実際、使い回されたパスワードが盗まれ、不正アクセスの被害につながるケースも増えています。
このような状況から、より安全に認証できる方法が求められるようになりました。そこで注目を集めたのが「多要素認証(MFA)」です。本記事では、「多要素認証」とは何か、企業活動においての重要性についてご説明します。
【関連記事】中小企業が狙われる!企業を揺るがすセキュリティリスクと取るべき対策とは
多要素認証(MFA)とは
MFAとは、Multi-Factor Authenticationの略で、日本では「多要素認証」とも呼ばれます。ユーザーの身元確認のため2つ以上の認証要素を組み合わせて認証を行うセキュリティ手法のことです。認証要素ごとに事前にサービスに登録された本人であることの確認を行い、それら全てで本人性が確認されて初めて、認証が完了します。認証情報は大きく3つに分けられます。
・知識情報
・所持情報
・生体情報
それぞれの認証情報に該当するのはどのような要素なのか解説します。
【参考】多要素認証(MFA)とは?仕組みや種類・二段階認証との違いをわかりやすく解説
知識情報
パスワード、PINコード、秘密の質問など「本人しか知り得ない情報」を指します。
秘密の質問とは、「小学校の名前は何ですか?」「好きな食べ物は何ですか?」などの質問に対し、事前に回答を登録しておくことで、その回答が認証の鍵となります。ただし、パスワードが単純すぎる場合や他人に搾取されやすい環境下で管理されると、簡単に認証が悪用される危険性があるため、運用には十分な注意が必要です。
所持情報
キャッシュカード、ICカード、ワンタイムパスワードなど、「本人だけが物理的に所持している物の情報」を指します。
ワンタイムパスワードとは、画面に表示されているコードや送られてきたコードを入力することで認証する方法です。ただし、スマートフォンやカード本体が盗まれると、認証が不正に突破されるリスクが生じます。また、万一の紛失時にも悪用されないようにするためには、対策が必要です。
生体情報
指紋認証や顔認証・音声認証など、「本人の生体的特徴に関する情報」を指します。
ただし、指紋などの生体情報が物理的に盗まれるリスクも存在します。そのため、複数の認証要素を組み合わせた方法を考慮することが重要です。
企業活動における重要性
多要素認証を導入すると、サービスへのログイン手順が単一の認証方式よりも複雑になります。ユーザーが手間を感じる可能性があり、簡便性を求める利用者からは歓迎されないこともあります。しかしながら、多要素認証(MFA)の導入は企業活動において多くのメリットがあります。ここではどのような利点があるのか、3つ紹介します。
【参考】多要素認証でセキュリティ強化:MFAの基礎知識
不正アクセス防止
複数の認証要素を組みあわせることで、フィッシング攻撃(偽のウェブサイトや電子メールを通じて、ユーザーから個人情報や機密情報を詐取する)や、アカウントの乗っ取りを防ぐことができます。
情報流出のリスク軽減
機密データへのアクセスが厳密に管理されることで、企業内での重要な情報が外部に漏れるリスクが低減されます。リモートワークの普及に伴い、適切なセキュリティ対策がますます必要となっています。
法規制やセキュリティポリシーへの対応
多くの国や地域で、データ保護に関する法律や規制が強化されています。例えば、EUでは、決済サービスプロバイダに対する規制であるPSD2が導入されています。この規制の中で、ユーザーの認証にはSCA(Strong Customer Authentication)という基準を満たすことが要求されますが、MFAを導入することでPSD2の要件を遵守できます。また、日本でも2016年に総務省から自治体情報セキュリティ対策の指示が出され、マイナンバーを利用する事務系のパソコンでは多要素認証を導入することが必須となりました。
MFAを導入する時のポイント
重要性が高まり続けている多要素認証(MFA)ですが、実際に導入するためには以下のポイントが大切です。
【参考】多要素認証(MFA)とは?二要素/二段階認証との違いや導入のメリット、注意点などを徹底解説
認証方法
多要素認証を利用する場合は、自社のルールなどを考慮し導入可能なものを選定しましょう。自社のポリシーにより、業務中のスマートフォンの利用が禁止されている場合、SMSによるワンタイムパスワードの通知などの方法は選択できません。そのようなケースでは、 スマートフォンを使用せず、物理的なハードウェアトークン(USBキーなど)を従業員に配布する方法があります。その他には、ICチップが埋め込まれた社員証なども利用できます。
コスト
MFAの導入にかかるコストは、導入する方法や選択したソリューションによって異なります。一般的に、下記2点が挙げられます。
・認証用の機器を用意するコスト
ICカード、カードリーダー、社用デバイス、生体認証装置など
・運用コスト
更新や保守の費用、サーバー費用、紛失時の対処費用
ユーザーへの影響を考慮
これまでの認証に不足している要素をプラスするだけでは、ユーザーの手間が増え、心証の悪化が予想されます。多要素認証を導入する際には、利便性を損なわないように検討する必要があります。適切なバランスを保つために、必要な認証要素を組み込むことが重要です。
XITのコンサルティングサービス
知識情報・所持情報・生体情報の3要素から2つ以上の認証要素を組み合わせて活用する多要素認証は、不正アクセスや情報漏洩などのリスクを軽減し、自社の大切な情報資産を守る上で欠かせないセキュリティ手段です。パーソナルデータや企業の機密情報を守るためにも、多要素認証の導入をぜひ検討してみてください。
ご利用中のクラウドサービスやアプリケーションサービスの多要素認証の設定に関して自分たちで設定を行う自信がない、そもそも自社のセキュリティに不安がある、現在の実装で十分なのか知りたい方は、ギグワークスクロスアイティにご相談ください。
この記事を書いた人
