多要素認証(MFA)は、オンライン・アカウントのパスワードと指紋やその他の生体認証データなど、少なくとも2つの異なる形式の証明を要求することでユーザーの身元を確認する方法です。MFA は、パスワードだけでは実現できない保護層をさらに強化します。
多くのインターネット・ユーザーは、MFAの最も一般的な形式である2要素認証(2FA)をよく知っています。2要素認証では2つの証拠のみが求められますが、一部のMFA実装では3つ以上が求められます。
たとえば、MFAによって保護されたEメール・アカウントにログインするために、ユーザーは正しいアカウントのパスワード(第1要素)と、Eメール・プロバイダーがユーザーのモバイルにテキスト・メッセージで送信するワンタイム・パスコード(第2要素)が必要なことがあります。特に機密性の高いアカウントの場合、ハードウェア・キーの所有など、第3の証拠が必要になる場合があります。
必要な要素がすべて満たされた場合にのみ、ユーザーはシステムにアクセスできます。何か問題がある場合、ログインの試行は失敗します。
MFA方式は、あらゆる種類の機密アカウント、資産、システムにアクセスするために使用されています。MFAはオフラインでも登場します。銀行カード(最初の証拠)とPIN(2番目の証拠)を使用してATMから現金を引き出すことは、MFAの一種です。
MFAは、企業のIDおよびアクセス管理(IAM)戦略においてますます重要度が増しています。標準的な単一要素認証方式はユーザー名とパスワードに依存しており、これらは盗難やハッキングされやすいものです。実際、IBMのCost of a Data Breach Reportによると、認証情報の漏洩がデータ侵害の10%の原因となっています。
MFAシステムは、ユーザーの身元を確認するために複数の証拠を要求することで、セキュリティをさらに強化します。ハッカーがパスワードを盗んだとしても、システムへの不正アクセスを得るのに十分な情報はありません。その第2要素がまだ必要です。
さらに、第2要素は、指紋スキャンや物理的セキュリティーのトークンなど、多くの場合、単純なパスワードよりも解読がはるかに困難なものになっています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
MFAシステムでは、ユーザーは自分の身元を証明するために、「認証要素」と呼ばれる少なくとも2つの証拠が必要です。MFAシステムは複数の種類の認証要素を使用でき、真のMFAシステムでは少なくとも2種類の認証要素を使用します。
サイバー犯罪者は、各要素を解読するために異なるチャネルで別々の方法を使用する必要があるため、異なるタイプの要素を使用する方が、同じタイプの複数の要素を使用するよりも安全であると考えられています。
たとえば、ハッカーは犠牲者のコンピューターにスパイウェアを仕込んで、パスワードを盗むことがあります。しかしそのスパイウェアは、ユーザーのスマートフォンに送られたワンタイムパスコードを拾ったり、ユーザーの指紋をコピーしたりはしません。攻撃者は、パスコードを伝えるSMSメッセージを傍受するか、指紋スキャナーをハッキングして、必要なすべての認証情報を集める必要があります。
認証要素の種類は次のとおりです。
知識要素とは、パスワード、PIN、セキュリティーの質問に対する回答など、理論的にはユーザーだけが知っている情報です。知識要素(通常はパスワード)は、ほとんどのMFA実装における最初の要素です。
ただし、知識要素は最も脆弱な認証要素でもあります。ハッカーは、フィッシング攻撃や、ユーザーのデバイスにマルウェアをインストールすること、またはチャットボットを使用してパスワードの候補を生成し、1つのパスワードが機能するまでテストする総当たり攻撃を仕掛けたりすることで、パスワードやその他の知識要素を手に入れることができます。
他の種類の知識要素も脆弱性になります。「母親の旧姓は何ですか」というような古典的な質問のように、多くのセキュリティー質問に対する答えは、基本的なソーシャル・メディア調査をしたり、ユーザーを騙して個人情報を漏らすソーシャル・エンジニアリング攻撃を行うことで簡単に見抜くことができます。
パスワードとセキュリティーの質問を要求する一般的な方法は、同じ種類の2つの要素(この場合は2つの知識要素)を使用するため、真のMFAとは言えません。むしろ、これは2段階認証プロセスの一例です。2段階認証は、複数の要素を必要とするため、ある程度のセキュリティーは強化されますが、真のMFAほど安全ではありません。
所有要素とは、人が所有しているもので、自分の身元証明に使用できるものです。所有要素には、デジタル・ソフトウェア・トークンと物理ハードウェア・トークンの両方が含まれます。
今日、より一般的になっているソフトウェア・トークンは、ユーザーが所有するデバイス(通常はスマートフォンやその他のモバイル・デバイス)に保管されているか、そのデバイスによって生成されるデジタル・セキュリティー・キーです。ソフトウェア・トークンの場合、ユーザーのデバイスが所有要素として機能します。MFAシステムは、正当なユーザーのみがデバイスとその情報にアクセスできることを前提としています。
ソフトウェア・セキュリティー・トークンには、ユーザーを自動的に認証するデジタル証明書から、ユーザーがログオンするたびに変更されるワンタイム・パスワード(OTP)まで、さまざまな形式があります。
MFAソリューションの中には、SMS、Eメール、または電話でユーザーの電話にOTPを送信するものがあります。他のMFA実装では、認証アプリ(時間ベースのワンタイム・パスワード(TOTP)を継続的に生成する特殊なモバイル・アプリケーション)を使用します。多くのTOTPの有効期限は30~60秒であるため、時間切れでパスワードが使えなくなる前に盗んだり使ったりすることは困難です。
一部の認証アプリは、TOTPではなくプッシュ通知を使用します。ユーザーがアカウントにログインしようとすると、アプリはユーザーのデバイスのiOSまたはAndroidオペレーティング・システムに直接プッシュ通知を送信します。ユーザーは、通知をタップしてログインの試行を確認する必要があります。
一般的な認証アプリには、Google Authenticator、Microsoft Authenticator、LastPass Authenticatorなどがあります。
他の認証システムは、物理トークンとして機能する専用のハードウェアを使用します。一部の物理トークンはコンピューターのUSBポートに差し込み、認証情報をアプリやサイトに自動的に送信します。その他のハードウェア・トークンは、オンデマンドでOTPを生成する自己完結型のデバイスです。
ハードウェア・トークンには、物理的なロックを開く方法や、ユーザーがカード・リーダーにスワイプする必要があるスマート・カードなど、より従来のセキュリティー・キーが含まれる場合もあります。
所持要素の主な利点は、悪意のある攻撃者がユーザーになりすますにはその要素を所有している必要があることです。多くの場合、物理的なスマートフォンやセキュリティー・キーを盗むことになります。さらに、OTPは一定時間が経過すると期限切れになります。ハッカーが盗んだとしても、それが機能する保証はありません。
しかし、所有要素は絶対確実ではありません。物理的なトークンは盗難、紛失、置き忘れられる可能性があります。デジタル証明書はコピーできます。OTPは従来のパスワードよりも盗まれにくいですが、特定の種類のマルウェア、スピア・フィッシングまたは中間者攻撃などの影響を受けやすいという欠点があります。
ハッカーは、より高度な手段を使用することもできます。SIMクローニング詐欺では、攻撃者は被害者のスマートフォンのSIMカードの機能的な複製を作成し、ユーザーの電話番号に送信されたパスコードを傍受できるようにします。
MFA疲労攻撃は、プッシュ通知を使用するMFAシステムを利用します。ハッカーは、被害者が誤って不正な通知を確認することを期待して、ユーザーのデバイスにそのような通知を大量に送信し、ハッカーが被害者のアカウントに侵入できるようにします。
「生体認証」とも呼ばれる生体要素は、指紋、顔の特徴、網膜スキャンなど、ユーザーに固有の身体的特徴です。多くのスマートフォンやノートPCには顔スキャナーや指紋読み取り装置が内蔵されており、多くのアプリやWebサイトはこの生体認証データを認証要素として使用できます。
生体要素は、突破するのが最も難しい要素の1つですが、突破は可能です。たとえば、セキュリティ研究者は、特定のノートPCでWindows Hello指紋スキャナーをハッキングする方法を発見しました。研究者らは、登録されたユーザーの指紋を自分の指紋に置き換えることができ、事実上デバイスを制御できるようになりました。
人工知能(AI)画像生成の進歩により、サイバーセキュリティーの専門家は、ハッカーがこれらのツールを使って顔認識ソフトウェアを騙す可能性があると懸念しています。
生体認証データが侵害された場合、迅速かつ簡単に変更することができないため、進行中の攻撃を阻止してアカウントの制御を取り戻すことが困難になります。
行動要素は、ユーザーの典型的なIPアドレス範囲、普段いる場所、平均的なタイピング速度などの行動パターンに基づいてユーザーの身元を確認するデジタル・アーティファクトです。
たとえば、企業の仮想プライベート・ネットワーク(VPN)からアプリにログインする場合、ユーザーが指定する認証要素は1つだけの場合があります。信頼できるVPN上に存在することは、第2要素と見なされます。
同様に、ユーザーが信頼できるデバイスを認証要素として登録できるシステムもあります。信頼できるデバイスからシステムにユーザーがアクセスするときは常に、そのデバイスの使用が自動的に第2要素として機能します。
行動要素はユーザーを認証するための高度な方法になりますが、ハッカーは依然としてユーザーの行動をコピーすることで、そのユーザーになりすますことができます。
たとえば、信頼できるデバイスにハッカーがアクセスした場合、そのことを認証要素として使用できます。同様に、攻撃者はIP所在地を偽装して、企業VPNに接続しているように見せかけることができます。
適応型MFAは、「リスクベース認証」とも呼ばれる適応型認証を使用します。適応型認証システムは、AIと機械学習(ML)を使用してユーザーの活動を評価し、認証チャレンジを動的に調整します。リスクが高い状況であるほど、ユーザーが提供しなければならない認証要素も増えます。
たとえば、ユーザーが信頼できるネットワーク上の既知のデバイスから下位アプリにログインしようとする場合、パスワードの入力鹿必要ないかもしれません。
その同じユーザーが、安全でない公衆無線LAN接続から同じアプリにログインしようとした場合、第2要素を要求される可能性があります。
ユーザーが特に機密情報にアクセスしたり、重要なアカウント情報を変更しようとしたりすると、第3または第4要素を提供する必要があるかもしれません。
適応型認証システムは、組織がMFA実装の最も一般的な課題のいくつかに対処するのに役立ちます。たとえば、ユーザーは単純なパスワードよりも利便性が低いと感じて、MFAに抵抗感があるかもしれません。適応型MFAは、機密性の高い状況のときにだけ複数の要素を必要とするようにして、ユーザー体験を向上させます。
組織では、ネットワークのさまざまな資産や部分に応じてさまざまなレベルのセキュリティーが必要になる場合があります。すべてのアプリとアクティビティにMFAを要求すると、セキュリティー上のメリットがほとんどなく、ユーザー体験が低下する可能性があります。
適応型認証システムにより、組織は、画一的なソリューションを適用するのではなく、関係するユーザー、アクティビティ、リソースに基づいて、よりきめ細かなアクセス管理プロセスを定義できるようになります。
ただし、適応型システムの維持には、標準的なMFAソリューションよりも多くのリソースと専門知識が必要となる場合があります。
パスワードレスMFAシステムでは、知識要素ではなく、所有要素、生体要素、および行動要素のみを許可します。たとえば、物理トークンと共にユーザーに指紋の入力を求めることは、パスワードレスMFAになります。
一般的なFIDO標準などに基づくパスキーは、最も一般的なパスワードレス認証形式の1つです。公開鍵暗号を使用してユーザーの身元を確認します。
パスワードレスMFAは、最も簡単に侵害できる要素である知識要素を排除します。現在の2FA方式のほとんどはパスワードを使用していますが、業界の専門家は、将来的にはパスワードレス化が進むと予想しています。Google、Apple、IBM、Microsoftなどの組織は、パスワードレスの認証オプションを提供しています。
組織は認証システムを使用して、これらの攻撃からユーザー・アカウントを保護します。しかし、最も基本的な認証システムでは、パスワードさえあればアクセスでき、安全性は『チャーリーの使い』とさほどかわりません。
IBMのCost of a Data Breach Reportによると、データ侵害の背後にあるサイバー攻撃の最も一般的な2つの経路は、認証情報の侵害とフィッシングです。これらを合わせると、侵害の約26%を占めます。どちらの経路もパスワードを盗むことで作用することが多く、ハッカーはこれを利用して正規のアカウントやデバイスを乗っ取り、大混乱を引き起こすことができます。
通常、ハッカーの標的はパスワードです。なぜなら、パスワードは総当たり攻撃や詐欺行為によって見破るのが簡単だからです。さらに、人々はパスワードを再利用するため、ハッカーは盗んだ1つのパスワードを使って複数のアカウントに侵入できることがよくあります。パスワードが盗まれると、個人情報の盗難、金銭の盗難、システムの妨害など、ユーザーや組織にとって重大な結果を招く可能性があります。
MFAは、ユーザー・アカウントに保護層を追加し、攻撃者とそのターゲットの間にさらに多くの障害を置くことで、不正アクセスを阻止できるようにします。ハッカーがパスワードを盗むことができたとしても、侵入するには少なくとも1つの要素が必要です。
MFAは、組織がコンプライアンス要件を満たすのにも役立ちます。たとえば、Payment Card Industry Data Security Standard(PCI DSS)では、支払いカード・データを処理するシステムに対してMFAを明示的に要求しています。
サーベンス・オクスリー法(SOX)や 一般データ保護規則(GDPR)などのその他のデータ・プライバシーとセキュリティー規制では、MFA は明示的に要求されていません。しかし、MFAシステムを使用すると、これらの法律で定められた厳格なセキュリティー基準を満たすことができます。
データ侵害をきっかけに、組織がMFAの導入を余儀なくされるケースもあります。たとえば、連邦取引委員会は、250万人の顧客に影響を与えたデータ侵害を受けて、アルコールのオンライン販売会社DrizlyにMFAの導入を命令しました。1
シングル・サインオン(SSO)は、ユーザーが単一の認証情報セットを使用して複数のアプリケーションにログインできるようにする認証方式です。SSOとMFAはどちらも認証を扱いますが、その目的は根本的に異なります。MFAはセキュリティーを強化するのに対し、SSOは使いやすさを重視して設計されています。
SSOは、従業員が業務の遂行のために複数のサービスやアプリにアクセスしなければならない組織内でよく使用されます。ユーザーがアプリごとに個別のアカウントを作成することを要求すると、パスワード疲れ、つまり異常な数のログインを記憶することによるストレスにつながる可能性があります。
SSOを使用すると、ユーザーは複数のアプリケーションに単一のログインを使用できるようになり、ユーザー体験が向上します。
MFAは必ずしもユーザー体験の問題に対処するものではありませんが、ログイン・プロセスにさらなるセキュリティー層を追加します。
MFAとSSOは、最新のSSOシステムではMFAが必要になることが多いため、サインオンが便利で比較的安全であるという点で関連があり、補完的です。
2FAとMFAの違いは、2FAは2つの要素を使用するのに対し、MFAは必要なセキュリティーのレベルに応じて、2つ、3つ、あるいはそれ以上の要素を必要とする場合があることです。2FAはMFAの一種です。
ほとんどのMFAアプリケーションでは、2つの要素で十分に安全であることが多いため、2FAを使用します。ただし、組織では、財務データや個人情報(PII)を含むファイルなどの機密性の高い情報へのアクセスを許可する前に、身元を証明するための追加の要素を要求する場合があります。