2FAまたはMFAを使用するべきか？

認証形式（パスワードなど）が1つだけでは不十分です。ユーザー名とパスワードは攻撃に対して脆弱であることが証明されています。そのため、セキュリティを強化したい組織は2FA/MFAに切り替えて、認証されたユーザーがWebサイト、アプリケーション、リソースにアクセスできるような確実性および可能性を高めています。必要に応じて、認証のレイヤーをたった1つ追加するだけで、十分なセキュリティ（2FAなど）が確保できる場合があります。ですが、認証プロセスに要素を追加すれば、ユーザーが何かへアクセスしようとするたびに認証要素の組み合わせを求めることになるので、セキュリティのレベルが上がります。知識：ユーザーが知っている何か。所有物：ユーザーが持っている何か。生体認証：ユーザー自身の何か。拠点：ユーザーがいるどこか。

二要素認証とは？

Q: 二要素認証とは？

二要素認証（2FA）は、Webサイト、アプリケーション、またはリソースへのアクセス権を得るために、ユーザーが 必ず 2つの検証要素を提供しなければいけない認証方法です。 2FAは 多要素認証（MFA） の一部です。

Q: 2FAと MFA： 違いは何でしょう？

必ず 2つの検証要素（パスワードとモバイルプッシュ認証など）を使用して識別するのが2FAですが、それに対して MFA は 少なくとも 2つの要素（パスワード、モバイルプッシュ認証、生体認証など）を使用して識別します。 言い換えれば、2FAはMFAの一形態です。

Q: 最も一般的な認証方法/認証トークンとは？

日常の関与を必要とせずにユーザーを検証する、透過的な認証システム。 サーバー証明書 IP - 位置情報 端末認証 ユーザーが持ち歩いて認証に使用する有形のデバイス。 ワンタイムパスコード（OTP）トークン ディスプレイカード グリッド認証 ワンタイムパスコードのリスト 生体認証 持ち歩く物理的なデバイスを増やさずに、ユーザーIDを確認する方法。 ナレッジベース認証 帯域外認証 モバイル Smart Credential SMSソフトトークン

- 医療システム
  - 病院向け
  - クリニック向け
    1. Sigma DS2CL
  - ソリューション
  - Entrust eストア
    詳細はこちら
- 業界
- ソリューション
  - ゼロトラスト
    Entrustは、顧客がIDとデータを保護し、リスクを軽減し、マルチクラウドインフラストラクチャ全体でコンプライアンスを達成するために役立つ、比類のないゼロトラストセキュリティソリューションスイートを提供します。
    詳細情報
  - 強力なID
    1. 本人確認
      市民をサポートする高保証のIDを実現します。
    2. ID発行
      安全で確実なデジタルおよび物理IDを大量に、または瞬時に発行することができます。
    3. ユーザーID
      幅広い認証機能でIDを保護し、信頼性を向上させます。
    4. 機器ID
      強力な機器IDを発行および管理し、安全なIoTとデジタルトランスフォーメーションを実現します。
    5. Digital Signature
      デジタル文書に、安全で検証可能な署名およびシールを使用できます。
  - 安全な支払い
    1. 金融向けの発行
      デジタルおよび物理的な金融IDとクレデンシャルを即座に、または大規模に発行することができます。
    2. デジタルカードソリューション
      銀行のモバイルアプリからカード会員に直接デジタル決済の資格情報を発行することができます。
    3. セキュアなトランザクション
      企業、顧客、市民の間で認証された合意を確保します。
  - 信頼できるインフラ
    1. ポスト量子暗号
      ポスト量子世界に向けて、暗号資産を見つけ、評価し、準備しましょう。
    2. データベースセキュリティ
      暗号化、鍵管理、強力なポリシーとアクセス制御により、データベースを安全に保護します。
    3. マルチクラウドセキュリティ
      ハイブリッドおよびマルチクラウド環境における鍵、データ、ワークロードの保護とコンプライアンス。
- コンプライアンス
  - 1. PSD2
    2. HIPAA
    3. GDPR
    4. Swift
  - 1. CMMC
    2. eIDAS
    3. NITES
- 関連製品
  - サービス型製品
    1. サービスとしての本人確認
      出入国管理、国境管理、またはeGovサービス提供のための市民認証。
    2. サービスとしてのID（IDaas）
      クラウドベースのIDおよびアクセス管理ソリューション。
    3. Digital Signing as a Service
      クラウドベースの電子署名ソリューション。
    4. サービスとしてのインスタントID
      1つのセキュアなプラットフォームから、IDカードとデジタルIDを同時に発行することができます
  - 1. デジタルカードソリューション
      カード所有者のモバイルウォレットに直接、デジタル決済情報を即座に提供します。
    2. PKI as a Service
      迅速な導入、オンデマンドでの拡張、場所を選ばず実行が可能な、安全性の高いPKIです。
    3. nShield as a Service
      クラウドベースの暗号化サービス専用のnShield HSMへのサブスクリプションベースのアクセス。
    4. サービスとしてのシームレストラベル
      リモートID検証、デジタル旅行資格情報、およびタッチレスの出入国手続き。
  - 1. 金融カードの即時発行
      店頭およびセルフサービスキオスクでの、デビットカードやクレジットカードの発行。
    2. 一元的な金融カード発行
      デリバリと挿入のオプションで大量の金融カード発行が可能。
    3. IDの即時発行
      社員証、学生証、会員証などのセキュアな発行。
    4. 一元的なID発行
      パスポート、国民ID、運転免許証。
    5. nShield HSM
      暗号鍵や署名鍵の生成、電子署名の作成、データの暗号化などを安全に行うことができます。
  - 1. クラウドセキュリティ、暗号化、鍵管理
      仮想、パブリック、プライベート、ハイブリッドのクラウド環境に適した強力な暗号化、ポリシー、アクセス制御を実現します。
    2. サーバー証明書
      TLS/SSL、電子署名、適格証明書、証明書ライフサイクル管理のためのサービスやツール。
    3. IDおよびアクセス管理（IAM）
      従業員、消費者、市民などを問わず、すべてのユーザーに1つのIDポートフォリオで対応します。
    4. 機器のアイデンティティ管理
      機器IDの可視化、制御、管理の一元化。
    5. ポスト量子
      量子抵抗暗号に移行するためにどのような手順を踏めばよいかをご紹介します。
- エンタープライズID発行
  - サービスとしてのインスタントID
    1つのセキュアなプラットフォームから、IDカードとデジタルIDを同時に発行することができます
    詳細はこちら
  - 即時発行
    1. Sigmaダイレクトカードシステム
    2. Artista再転写システム
    3. システムソフトウェア
      パーソナライゼーション、エンコーディング、アクティベーション。
    4. サプライ品
    5. サービス
    6. カタログやドライバーなどの各種ダウンロード
- 金融IDと発行
  - デジタルカードソリューション
    カード所有者のモバイルウォレットに直接、デジタル決済情報を即座に提供します。
    詳細はこちら
  - デジタルバンキング
    1. デジタル口座開設
    2. デジタルカードソリューション
  - 即時発行
    1. Sigmaダイレクトカードシステム
    2. Artista再転写システム
    3. システムソフトウェア
      パーソナライゼーション、エンコーディング、アクティベーション。
    4. サプライ品
    5. サービス
  - 集中発行
    1. カード発行システム
    2. インラインカードメーリングシステム
    3. インライン封筒挿入システム
    4. スタンドアロンカード貼付/封筒挿入システム
    5. スタンドアロン封筒挿入システム
    6. システムソフトウェア
      パーソナライゼーション、エンコーディング、デリバリー、アナリティクス。
    7. サプライ品
    8. サービス
- 政府IDと発行
  - デジタルシチズン
    1. eGovernmentサービス提供
    2. サービスとしての本人確認
    3. サービスとしてのシームレストラベル
    4. ePassport as a Service
  - 集中発行
    1. パスポート、国民ID、運転免許証。
    2. パスポート発行システム
    3. 国民IDおよび運転免許制度
    4. インラインのデリバリーおよび挿入
    5. スタンドアロンの配送および挿入
    6. システムソフトウェア
      IDパーソナライゼーション、エンコーディング、デリバリ。
    7. サプライ品
    8. サービス
  - 即時発行
    1. その他の市民IDや免許証。
    2. Sigmaダイレクトカードシステム
    3. Artista再転写システム
    4. システムソフトウェア
      パーソナライゼーション、エンコーディング、デリバリー、アナリティクス。
    5. サプライ品
    6. サービス
  - サービスとしての本人確認
    当社のIDVaaSソリューションは、出入国管理、国境管理、デジタルサービス提供のために、提示された個人の身元を遠隔で確認することを可能にします。
    詳細はこちら
- Cloud Security Posture Management
  - 1. AWS向けのCloudControl Enterprise
      複数のアカウント、リージョン、アベイラビリティゾーンにわたるAWS構成の順守を確保し、安全に保ちます。
    2. コンテナ向けのCloudControl Enterprise
      VMware TanzuとRedHat OpenShiftのプラットフォームを利用した、コンテナやKubernetesのセキュリティコンプライアンスと環境ハードニングソリューションです。
    3. Swift向けのCloudControl Enterprise
      仮想インフラストラクチャとデータを保護しながら、Swiftのカスタマーセキュリティプログラムのコンプライアンス要件を満たします。
    4. vSphereおよびNSX向けのCloudControl Enterprise
      VMware vSphere NSX-TおよびVCFのための包括的なコンプライアンス、多要素認証、二次承認、RBAC。
    5. vSphere向けのCloudControl Foundation
      VMware vSphere、NSX-T、SDDCおよび関連するワークロードと管理領域に対する包括的なコンプライアンス
  - CloudControl 30日無料トライアル
    Entrust CloudControlは、仮想化、パブリッククラウド、およびコンテナプラットフォーム全体で包括的なセキュリティと自動化されたコンプライアンスを提供すると同時に、可視性を高め、意図しないダウンタイムやセキュリティ上の露出につながる可能性のあるリスクを軽減します。
    無料トライアルを開始する
- 鍵管理と暗号化
  - 1. KMIPとシークレットのためのKeyControl
      ローテーションや共有の頻度を含め、すべてのシークレットと暗号鍵を安全かつ大規模に簡単に管理できます。
    2. KeyControl BYOK
      オンプレミスおよびクラウド上で暗号鍵を作成し、管理することができます。暗号鍵を管理しながら、鍵のライフサイクルを管理することができます。
    3. データベース暗号化向けKeyControl
      データベースと統合して、暗号化鍵の安全なライフサイクル管理を実現します。
    4. バックアップ/リカバリ向けKeyControl
      バックアップおよびリカバリソリューションと統合して、暗号化鍵の安全なライフサイクル管理を実現します。
  - 1. DataControl for Azure
      データ暗号化、マルチクラウド鍵管理、Azure向けワークロードセキュリティ。
    2. DataControl for AWS
      データ暗号化、マルチクラウド鍵管理、AWS向けワークロードセキュリティ。
    3. DataControl for IBM Cloud
      データ暗号化、マルチクラウド鍵管理、IBMクラウド向けワークロードセキュリティ。
  - KeyControl 30日無料トライアル
    VMware vSphereとvSANの暗号化には外部の鍵マネージャーが必要ですが、KeyControlはVMware Readyの認定を受けており、推奨されています。 KeyControlを使用すると、企業はすべての暗号鍵の大規模な管理、そして鍵をローテーションする頻度と安全な共有方法の管理を簡単に実行できます。
    無料トライアル開始する
- ハードウェアセキュリティモジュール（HSM）
  - nShield as a Service
    1. nShield専用クラウドHSMへのサブスクリプション方式でのアクセス。
  - nShield HSM
    1. nShield 5c
    2. nShield Connect
      分散型アプリケーションに暗号鍵サービスを提供するネットワーク型アプライアンス。
    3. nShield 5s
    4. nShield Solo
      PCI-ExpressカードベースのHSM。
    5. nShield Edge
      USB接続の個人用デスクトップHSM。
  - 管理およびモニタリング
    1. nShield Monitor
    2. nShield Remote Administration
  - CodeSafe
    1. FIPS 140-2レベル 3認証のnShield HSM内で機密コードを保護するためのSDK。
    2. ポスト量子SDK
  - ソフトウェアオプションパック
  - コンプライアンスと認証
    1. FIPS 140-2/140-3
    2. コモンクライテリア
    3. eIDAS
    4. NIST 800-53
    5. GDPR
    6. PSD2
    7. HIPAA
    8. PCI-DSS
    9. NITES
  - HSMが必要な理由
    1. ハードウェアセキュリティモジュールが提供するセキュリティとコスト削減に関するすべての詳細については、こちらをご覧ください...
    2. 詳細はこちら
  - ユースケース
- TLS/SSL証明書
  - 今すぐ購入
    1. 証明書を購入する
    2. 証明書を更新する
  - TLS/SSL証明書
  - 限定証明書 ※日本での販売はしておりません
  - 販売およびサービス
- IDおよびアクセス管理（IAM）
  - 製品
    1. Identity as a Service（IDaaS）
      クラウドベースIAM
    2. Identity Enterprise
      オンプレミスIAM
    3. Identity Essentials
      Windowsユーザー向けオンプレミスMFAソリューション
    4. APIおよびSDK
  - インテグレーション
  - お客様の声
  - 全従業員
  - 消費者と市民
  - Entrust Identity as a Serviceを60日間無料で使用しましょう
    クラス最高のMFA、SSO、適応型リスクベース認証、およびユーザーの安全維持だけでなく、最適なエクスペリエンスに貢献する多数の高度な機能へのアクセスを提供するIdentity as a Serviceプラットフォームを探索してください。
    無料トライアルを開始する
- 電子署名とデジタル署名
  - EU認定トラストサービス
    長年にわたるAdobe Approved Trust List（AATL）会員としての登録に加え、欧州の認定トラストサービスプロバイダとして、適格署名および上級シールのためのeIDAS認定証明書、PSD2証明書、QWACの発行に携わっています
    詳細情報
  - Digital Signing as a Service
  - デジタル署名証明書
  - デジタル署名インフラストラクチャ
- Public Trust証明書
  - BIMI向けのVerified Mark証明書（VMC）
    メール送信に合わせて、公式ロゴを表示しましょう。ホワイトペーパーをダウンロードして、VMCとBIMI標準について理解を深めてください。
    詳細情報
  - TLS/SSL証明書の購入と更新
    1. 証明書を購入する
    2. 証明書を更新する
  - 署名証明書
  - 限定証明書 ※日本での販売はしておりません
    1. PSD2認定電子シール証明書
  - 販売およびサービス
- 公開鍵暗号基盤（PKI）
  - PKI as a Service
    1. ユースケース
    2. ポスト量子PKIaaS
  - PKI製品
  - マネージドサービス
  - 証明書のライフサイクル管理
  - 暗号化のCOE
    1. PKIヘルスチェック
    2. 暗号化ヘルスチェック
  - ポスト量子PKI as a Serviceを今すぐお試しください
    PQの準備を整えます。 PKIaaS for PQは、認証局の複合型および純粋型量子耐性階層をお客様に提供します。
    今すぐ試す
- IoT（モノのインターネット）のセキュリティ
  - クレデンシャルとプロビジョニング
  - 機器のアイデンティティ管理
  - グローバルPKI IoTトレンド調査
    組織がどのようにPKIを使用しているか、より安全なコネクテッドワールドの可能性に備えているかどうかを確認します。
    詳細はこちら
- 機器のアイデンティティ管理
  - ライフサイクル管理
  - クレデンシャルとプロビジョニング
  - 機器のID管理の状況
    IDGの最近の調査では、機器のIDを取り巻く環境の複雑さと、ITリーダーが管理ソリューションに求める機能が明らかにされています。
    ホワイトペーパーを取得する
- ポスト量子
  - 発行とプロビジョニング
    1. PKI as a Service PQ
    2. PQの標準と研究
  - 暗号化のCOE
    1. 暗号ヘルスチェック
    2. PKIヘルスチェック
  - ポスト量子コンピューティングの脅威に対する準備はできていますか？
    当社の評価を受けて、ポスト量子への準備への道のりがどこから始まるかを理解してください。
    評価を開始する
- リソース
  - 発行システムナレッジベース
    テクノート、製品速報、ユーザーガイド、製品登録、エラーコード、その他。
    詳細はこちら
  - デジタルセキュリティナレッジベース
    ガイド、ホワイトペーパー、インストールヘルプ、FAQ、証明書サービスツール。
    詳細はこちら
  - サイバーセキュリティ研究所
    EntrustのTrust Mattersニュースレター、説明ビデオ、サイバーセキュリティ研究所のポッドキャストから、セキュリティの概念に関する重要な洞察を得て、教育を受けることができます。
    詳細情報
- パートナー
  - Entrustパートナーになる
    当社のパートナープログラムは貴社のビジネスを競合他社と差別化し、収益を増やし、顧客ロイヤルティを高めるお手伝いをします。 1つ以上のEntrustパートナープログラムへの参加を検討して、可能な限り多くの見込み顧客の前に貴社およびブランドを戦略的に提示しましょう。
    詳細はこちら
  - パートナーディレクトリ
    場所、製品、チャネル、またはテクノロジーに基づいてパートナーを検索します。
    パートナーを探す
  - プログラム
  - パートナーログイン
- 購入する
  - Entrust Certificate Services Retail
    新規で単一の証明書を購入するためのショップです。
  - Entrust証明書サービスポータル
    Entrust証明書サービスポータルの既存のお客様は、ログインして証明書を発行および管理したり、追加サービスを購入したりすることができます。
  - Entrust証明書サービスのパートナーポータル
    既存のパートナーは、新規顧客の開拓や在庫管理を行うことができます。
  - サプライ品
    1. ログインはこちら（登録済みのお客様向け）
    2. Entrust eストア
- Entrustについて
  - 1969以来、絶えず変化を続ける世界を安全にしています
    当社は、地球全体、さらには宇宙空間へのセキュアな接続を確立しました。カードの印刷および発行テクノロジーにより、信頼性の高いデビットカードおよびクレジットカードによる購入が可能になりました。国境管理ソリューションによる海外旅行の保護、SSLテクノロジーを使用したインターネット上のセキュアな体験の作成、一連の認証製品によりネットワークとデバイスの安全性を実現しました。
    当社の歴史をご覧ください
  - サイバーセキュリティ研究所
    EntrustのTrust Mattersニュースレター、説明ビデオ、サイバーセキュリティ研究所のポッドキャストから、セキュリティの概念に関する重要な洞察を得て、教育を受けることができます。
    詳細情報
- Entrustを検索
  - 検索：

二要素認証（2FA）は、ウェブサイト、アプリケーション、またはリソースへのアクセス権を得るために、ユーザーが必ず2つの検証要素を提供しなくてはならない認証方法です。 2FA認証は、多要素認証のサブセットであり、少なくとも2つの認証形式を必要とします。組織は、フィッシング、ソーシャルエンジニアリング、ブルートフォースパスワードセフトなどの一般的な攻撃手法に対するセキュリティ層を追加するために、2FAを使用しています。

なぜ二要素認証が必要なのか？

近年、情報漏えいが頻発しており、その被害額は全世界で年間2兆ドル以上と言われています。企業がデジタルインフラや資産のセキュリティ確保に取り組む中、一要素認証（特にパスワードベース認証）では十分でないことは明らかです。パスワードは簡単に漏えいします。特に、パスワードの管理状態が悪いだけでなく、ほとんど変更されず、複数のアカウントで再利用され、頻繁に共有され、安全でない場所に保管されることが多いためです。

ユーザー認証のための2つ目の要素を追加することは、今日のほぼすべての企業ユースケースで必要とされています。

2FAはどのような脅威に対応するのか？

二要素認証は、以下のような最も一般的なサイバー脅威の多くに対して追加の保護レイヤーを提供します。

盗まれたパスワード：前述したように、パスワードの管理状態が悪いと、簡単にパスワードが盗まれてしまいます。 2FAは、盗まれたパスワードだけではアカウントに侵入できないようにするものです。
ブルートフォースアタック（パスワードハッキング）：ハッカーは、ますますアクセスしやすくなったコンピューティングパワーを使って、暗号を「解読」するまでパスワードをランダムに生成します。しかし、コンピューティングパワーでは、2つ目の要素をハックすることはできません。
フィッシング：フィッシングは、ユーザーの認証情報を盗むための最も一般的かつ最も効果的な手段の一つであることに変わりはありません。 2FAは、フィッシング攻撃によってユーザー名とパスワードが盗まれた場合でも、不正なアクセスから保護することができます。
ソーシャルエンジニアリング：巧妙なハッカーは、ソーシャルメディアを利用して、ユーザーを騙して進んで認証情報を提供させる攻撃を仕掛けてくることが多くなっています。しかし、2つ目の要素がなければ、ハッカーはアカウントにアクセスすることができません。

二要素認証がどの様に機能するか

基本的な2FAログインのワークフローは、もうほとんど誰もが知っていることです。使用する要素によって具体的な内容は異なりますが、基本的には次のような流れで行われます。

アプリケーション/ウェブサイトが、ユーザーにログインを促します。
ユーザーが1つ目の要素を提供します。この1つ目の要素は、ほとんどの場合、ユーザー名とパスワードの組み合わせや、ハードウェアトークンやスマートフォンアプリで生成されるワンタイムパスコードなど、ユーザーが「知っている」ものです。
サイト/アプリケーションは、1つ目の要素を検証し、2つ目の要素を入力するようユーザーに促します。この2つ目の要素は、セキュリティトークン、IDカード、スマートフォンアプリケーションなど、通常ユーザーが「持っている」ものです。
サイトやアプリが2つ目の要素を検証すると、ユーザーにアクセスが許可されます。

2FAの例

認証方法と認証トークンは、大きく分けて4つのカテゴリーに分類されます。あなたが持っているもの、あなたが知っているもの、あなたを表すもの、あるいはあなたがいる場所です。

あなたが持っているもの：物理的なアクセスカード、スマートフォンなどのデバイス、または電子証明書
あなたが知っているもの：暗証番号またはパスワード
あなたを表すもの：指紋や網膜スキャンなどのバイオメトリクス

従来のユーザー名とパスワードの組み合わせは、技術的には二要素認証の初歩的な形態です。しかし、ユーザー名とパスワードの両方が「知っているもの」に該当するため、この組み合わせはより簡単に漏洩してしまいます。

認証方法/要素の歴史

ハードウェアトークン

ハードウェアトークンは小さな物理デバイスで、ユーザーがリソースへのアクセスを得るために提示するものです。ハードウェアトークンには、接続型（USB、スマートカード、ワンタイムパスワードキーホブなど）、非接触型（Bluetoothトークンなど）があります。このトークンはユーザーが持ち歩きます。 1993年にRSA社が発表した、最新の2FAの最初の形態は、小さな画面にランダムに生成された数字を表示する携帯端末を使用し、その数字をアルゴリズムと照合して端末の所有者を認証するものでした。ハードウェアトークンも紛失や盗難の可能性があります。

SMS型トークン

携帯電話の普及に伴い、SMSベースの2FAは急速に普及しました。ユーザーはユーザー名を入力すると、SMS（テキスト）メッセージでワンタイムパスコード（OTP）を受け取ります。同様のオプションとして、携帯電話への音声通話でOTPを提供する方法もあります。いずれの場合も、OTPの送信は比較的容易にハッキングできるため、2FAの理想的な形とは言えません。

アプリ型トークン

スマートフォンをはじめとするスマートモバイルデバイスの登場により、アプリベースの2FAが非常に普及しています。ユーザーは、端末にアプリをインストールします（デスクトップでも使用可能です）。ログイン時には、アプリからOTPなどの「ソフトトークン」が提供され、端末に表示されたログイン画面で入力する必要があります。ソフトトークンは端末上のアプリで生成されるため、OTPやソフトトークンが通信中に傍受される心配がありません。

プッシュ通知

おそらくユーザーの観点から最もシームレスで便利なのは、プッシュ通知による2FAで、これはユーザーにソフトトークンの入力を求めません。その代わり、ウェブサイトやアプリからユーザーのモバイル端末に直接プッシュ通知を送ります。この通知は、認証が試みられたことをユーザーに知らせ、ワンクリックまたはタップでアクセスを承認または拒否するよう求めます。この方式の2FAは安全性が高く、非常に便利ですが、インターネット接続に依存します。

パスワードレス認証

利用可能な認証方法の種類には、FIDOなどのパスワードレスオプション、バイオメトリクス、PKIベースのデジタルクレデンシャルによる認証などがあり、進化を遂げています。

2FAとMFA：違いは何でしょう？

二要素認証（2FA）は、ユーザーが2種類の認証を提示する必要があり、多要素認証（MFA）は、ユーザーが少なくとも2種類（それ以上）の認証を提示する必要があります。つまり、すべての2FAはMFAですが、すべてのMFAは2FAではありません。多要素認証では、リソース、アプリケーション、またはウェブサイトにアクセスするために、認証子と認証トークンを自由に組み合わせることができますが、2FA認証では、リソースにアクセスするために、あらかじめ定義された2つの認証子のみを必要とします。組織のニーズによっては、2FA認証は、エンドユーザにとって摩擦のない体験を可能にすると同時に、組織が求めているセキュリティのステップアップを提供することができます。

2FAに適した要素の選び方

二要素認証を有効にするために使用できる様々な種類の要素については、前述したとおりです。しかし、それぞれのタイプの認証方法にも、さまざまな選択肢があり、常に新しい技術が開発されています。 2FAプロトコルに使用する要素をどのように選択するか？ここでは、正しい選択を検討するためのいくつかの質問を紹介します。

ユーザーに対して透過的な認証をお求めですか？
ユーザーに物理デバイスの携帯を要求しますか、それともオンラインで認証しますか？
ウェブサイト自体がユーザーに対してウェブサイトの認証を行うようにしますか？
保護している情報はどの程度機密性が高いですか？関連するリスクは何ですか？
オフィス、ラボ、またはその他の領域への物理的なアクセス（結びつき）は、ユーザー要件の一部ですか？

Entrustは、高信頼性の多要素認証でセキュリティを向上させるための専門的なガイダンスを提供します。当社は、最も幅広い2FAセキュリティ認証方法をサポートしており、お客様のセキュリティニーズやユースケースに応じた最適なオプションを選択することができます。さらに重要なこととして、Entrustは専門家によるコンサルティングを提供しており、適切なオプションを選択し、高保証の二要素認証への移行を簡素化することができます。

二要素認証のユースケース

二要素認証は、多要素認証の中でも最も一般的な形式であり、様々な人がデータにアクセスする必要があるユースケースに最適です。例えば、医療用アプリケーションでは、医師やその他の臨床医が個人のデバイスから患者の機密データに必要に応じてアクセスできるようにするため、一般的に2FAが使用されています。

同様に、銀行や金融機関の2FAアプリケーションは、消費者のモバイルバンキングを可能にしながら、フィッシングやソーシャルエンジニアリング攻撃から口座情報を保護するのに役立ちます。

業界向けの2FAアプリケーション

医療業界
金融機関
リテール・小売業界
高等教育
ソーシャルメディア
政府/連邦政府機関

二要素認証の脅威/リスクとは？

ハッカーは、MFAや2FAを妨害するために、いくつかのアプローチを採用しています。それには以下が含まれます。

ソーシャルエンジニアリング：ソーシャルエンジニアリング攻撃では、ハッカーは正規の情報源を装って、個人を特定できるような情報を要求します。
技術的な攻撃：技術的な攻撃としては、マルウェアやトロイの木馬などがあります。
物理的な盗難：悪意ある者がスマートフォンやその他のモバイル機器を物理的に所有することは、2FAにとって脅威となり得ます。
アカウント回復を妨害する：パスワードのリセット処理は2FAをバイパスすることが多いため、ハッカーはユーザー名だけを利用して2FAを回避することができる場合があります。

二要素認証の安全性は十分なのか？

2FAは、一要素認証、特に従来のパスワードベースの認証とそのヒューマンファクターのすべての欠点からの大きなステップアップを提供します。十分に安全ですが、現在では多要素認証（MFA）がユーザー認証のデファクトソリューションとして考えられています。 PCI DSSなどのコンプライアンス要件も2FAからMFAに置き換わっており、政府機関も連邦政府機関全体でMFAを義務付けています。 MFAでは、セキュリティを強化するために、（パスワードではなく）フォームファクターを増やす機能があります。ユーザー認証にバイオメトリクスを使用し、デバイス認証と組み合わせて、リスクベースのコンテキスト制御を追加することで、ユーザーとデバイスのリスクポストを評価した上でアクセスを許可することができます。パスワードレスオプションとリスクベースの適応型認証を備えたMFAは、セキュリティを強化することができます。

最も一般的な認証方法/認証トークンとは？

透明性ある認証
物理的な認証要素
物理的でない認証要素

日常の関与を必要とせずにユーザーを検証する、透過的な認証システム。

サーバー証明書
IP - 位置情報
端末認証