多要素認証（MFA）とは？

National Institute of Standards and Technology（NIST）によると、MFAとは、ウェブサイト、アプリケーション、またはシステムを利用するために、複数の明確な「認証要素」を必要とする認証方法です。

認証要素とは、ユーザが特定のリソースにアクセスしようとするときに、ユーザのIDを検証するセキュリティクレデンシャルのことです。 例えば、誰かが電子メールアカウントにログインするとき、彼らは通常、ユーザ名とパスワードを送信します。 これらのクレデンシャルは識別の一形態であり、アクセス要求が偽者ではなく正当な個人からのものであることを示します。

MFAは、少なくとも1つの追加要素を要求することで、このプロセスをより安全にすることを目的としており、これが「多要素認証」という名前の由来となっています。 なぜでしょうか なぜなら、ハッカーがログイン認証情報を漏洩させると、重要なリソースや機密情報への不正アクセスが可能になるからです。

例えば、サイバー犯罪者が特権ユーザ（例えば、重要なITシステムにアクセスし、一般ユーザには許可されていない活動を実行する権限を持つ人物）のアカウントをクラックしたとしましょう。 彼らは、社会保障番号や財務情報などの機密データを大量に流出させることができます。 データ漏洩は従業員や顧客の個人情報盗難につながり、ビジネスに重大な影響（平均445万ドル）を与える可能性があります。

そこで、MFAソリューションの出番です。 適切なシステムを導入すれば、組織は何重にも強固な認証を行うことで、従業員、消費者、市民のIDを保護することができます。

MFAと二要素認証（2FA）の違いは何ですか？

MFAと2FAは極めて類似した概念ですが、厳密には同じではありませｎ。

簡単に言えば、2FAとは、正確に2つの識別子を必要とする認証方法であり、それ以上でもそれ以下でもありません。 したがって、これはMFAのサブセットであり、最低でも2つの要素が必要となります。

理論的には、MFAは通常2FAよりも安全です。なぜなら、MFAは特定のユースケースに必要な数の認証者を包含できるからです。 新たな要素が加わるたびに、不正アクセスはより困難になり、ハッカーと機密情報の間に新たな保護層が生まれることになります。

とはいえ、2FAがデフォルトで安全でないわけではありません。 それでも、伝統的なパスワード保護は現代のサイバー脅威に対して脆弱すぎるため、一要素認証に頼るよりははるかにましです。

MFAの例

組織はMFAソリューションをどのように利用しているのか？ 最も一般的な使用例を2つ紹介します：

1. 従業員のためのリモートアクセス： 米国だけでも、リモート勤務が可能な従業員の3分の1が、定期的に在宅勤務をしている。 世界中でハイブリッドワークが増加する中、企業は重要なリソースへの安全なリモートアクセスをユーザに提供しなければなりません。 MFAソリューションは、どこからでも仕事ができる利便性に対応しながら、従業員のIDを識別し、保護することを可能にします。
2. オンサイトでのシステムアクセス： 同様に、病院のようなオンプレミスのシステムは、保護された情報の重要な保管場所です。 適切なMFAソリューションにより、従業員は、近接バッジをクレデンシャルと並行して使用し、患者データベースに迅速かつ安全にアクセスすることができます。

このプロセスは、使用されているMFAメソッドに依存します。 しかし、具体的な内容はともかく、ワークフローは一般的に次のようになります：

• ユーザログイン： ユーザがユーザ名とパスワードを入力します。
• 認証リクエスト： プライマリログインが成功すると、システムは追加の要素を要求します。
• MFA検証： ユーザは、認証アプリによって生成されたワンタイムパスコード（OTP）などの第2の認証要素を提供します。
  • オプションの第3要素： MFAソリューションは、そのように設定されていれば、より多くの認証要求を呼び出すことができます。
• 認証の成功： すべての要素が確認されれば、ユーザはシステムにアクセスできます。

このプロセスは通常、ほんの一瞬で完了し、ユーザエクスペリエンスにほとんど影響を与えません。 最終的には、3つのカテゴリー：知識、所有物、固有性、に分類されるMFAの要素をいくつ必要とするかによって決まります。

1. 知識要素

知識要素とは、パスワードや暗証番号のように、ユーザしか知らないものを指します。 MFAシステムは時代とともに知識要素を増やしてきました。最も一般的な例は、秘密の質問に対する答え（例えば、母親の旧姓、高校のマスコットなど）です。

しかし、これらは簡単に推測できるため、MFAのどの要素よりも弱い要素です。 例えば、秘密の質問の答えは個人情報に基づくことが多いため、ハッカーがソーシャルメディアのプロフィールからを入手するのは、それほど手間はかかりません。 同様に、フィッシング攻撃も受けやすいです。

2. 所有要素

所有要素には、使用者だけが持っているものが含まれます。 今日、所有物に基づく検証には、いくつかの高度なタイプがあります：

• OTP： EメールまたはSMSで配信されるワンタイムパスコードです。
• プッシュ通知： ユーザのモバイルデバイスに送信される、アクセス要求の確認を求めるアラートです。 
• ハードウェアトークン： FIDO2鍵や、ユーザがデスクトップに接続するその他の物理的なデバイスです。 暗号化された情報が含まれており、ユーザの身元を認証します。
• グリッド カード：紙ベースのカードであり、PDFファイルから印刷され、数字と文字で構成された行と列のグリッドが含まれています。 利用者は、所持している固有のカードから、該当するセルに正しい情報を記入しなければなりません。

3. 固有要素

固有要素には、特定のユーザに固有の情報が含まれます。 他の2つの要素、つまり「知っているもの」と「持っているもの」に対して、固有要素はあなたが何者なのかです。 したがって、バイオメトリクス認証とも呼ばれ、次のようなMFAメソッドを活用します：

• 指紋
• 網膜スキャン
• 声認識
• 顔認識

バイオメトリクス認証は生来迂回が困難であるため、固有要素は最も安全な選択肢の一つです。

MFAの追加要素

3つの主要な識別子の他に、最先端のソリューションは3つの新たなMFA要素を使用する可能性があります：

• 時間： これは、予想される使用時間に対して、アクセス試行が評価されます。 営業時間外にリクエストが発生した場合、解決には追加要素が必要になる場合があります。 
• 場所： MFAソリューションは、地理的な位置やIPアドレスに基づいてリクエストを検証し、許可された位置から発信されていることを確認することができます。
• 行動： この要素は、キーストロークの動態のようなユーザパターンを分析し、履歴または習慣的な動作に基づいて身元を確認します。

これらの要素が相まって、古典的なMFAはより洗練されたセキュリティメカニズムで強化されています。 重要なのは、適応型MFAも可能になることですが、これについては後ほど詳しく説明します。

ハッカーは絶え間ないペースでIDを標的にしています。 2023年には、82億件以上のレコードがクレデンシャルベースの攻撃で盗まれ、そのうち34億件が単一のデータ侵害でした。 もちろん、その影響は壊滅的です：詐欺、なりすまし、コンプライアンス違反、金銭的損失、風評被害など、枚挙にいとまがありません。

残念ながら、多くの企業はIDベースの脅威への備えが不十分で。 2023の調査によると、61％の組織がデジタルIDの確保を最優先事項のトップ3に挙げています。 しかし、MFAを完全に導入しているのは49％に過ぎませんでした。 もし効果的なMFAソリューションがあれば、ハッキングの可能性を99％減らすことができたでしょう。

MFAとゼロトラスト

実際、MFAは過去と現在のサイバー脅威に対する十分な答えですが、決定的に重要なのは、サイバーに強い未来にとっても不可欠であるということです。 言い換えれば、ゼロトラストセキュリティの必須コンポーネントなのです。

ゼロトラストは、一度だけでなく、セッションを通じて継続的に強力な認証を行うことを重視する最新のセキュリティフレームワークです。 IDおよびアクセス管理（IAM）プラットフォームの一部として、堅牢なMFAシステムを導入することで、企業はフレームワークの3つの柱のうちの1つを一挙に実装することができます。 結果として、不正アクセスやIDベースの攻撃にさらされる機会が大幅に減るのです。

MFAの利点と課題

なぜMFAなのか？ まず第一に、それが多くの利点をもたらしてくれるからです： 

• データセキュリティの強化： MFAは、パスワード疲れ、フィッシング攻撃、その他のクレデンシャルベースの脅威から保護し、アカウント乗っ取りのリスクを低減します。
• コンプライアンスの向上： また、組織がさまざまな規制要件や業界標準を満たすのにも役立ちます。 MFAを使用することで、組織はデータ保護へのコミットメントを示すことができます。
• より強い信頼： 組織がMFAのような強固なセキュリティ対策を採用していることを顧客が知れば、個人データや財務データの安全性に対する信頼は高まります。
• コスト削減： MFAは、企業がインシデント対応、弁護士費用、規制当局からの罰金、風評被害などに伴う多額の出費を回避できるよう支援します。 さらに、MFAは、ユーザがアカウントの漏洩を経験する可能性が低いため、パスワードのリセットやその他のサポート関連のコストの必要性を減少させることができます。

しかし、MFAには課題もあります。 これには以下が含まれます：

• 不便な点： 追加の要素は、ユーザエクスペリエンスの低下を招き、従業員や顧客の不満につながります。
• 潜在的な脆弱性： MFAは素晴らしいセキュリティメカニズムですが、攻撃を受けないわけではありません。 プロンプト爆弾やSIMスワッピングのような特定の脅威ベクトルは、組織がMFAに加えて、完全な機能を備えたIAMプラットフォームのサポートを必要とすることを明確にしています。

適応認証（適応型MFAまたはリスクベース認証とも呼ばれます）は、ステップアップ認証の一種です。 コンテキスト情報を分析して、リソースへのアクセスを要求しているユーザプロファイルのリスクレベルを判断し、それに応じてセキュリティ要件を増減します。

より簡単に言えば、適応型MFAは、リクエストが不正である可能性が高い場合に、追加の要素を要求するのです。 リスクが大きければ大きいほど、その挑戦は強くなります。

たとえば、適応型認証では次のように評価します：

• 失敗した試行回数
• 送信元IPアドレスまたは地理的位置
• デバイスのレピュテーション
• 試行した日と時間
• オペレーティングシステム
• ユーザの役割

アクセス要求が疑わしい場合、OTPやプッシュ通知を使ってユーザに本人確認を促すことがあります。 同様に、すべてが正常であれば、何の課題も発生せず、シームレスなユーザ体験を提供することができます。

MFAソリューションの導入が心配ですか？ 適応認証だけでなく、その機能を拡張する方法を含む、堅牢なIAMシステムを探しましょう。 以下は、覚えておくべき追加のセキュリティ対策です：

1. シングルサインオン（SSO）は、ユーザが単一のログイン認証情報だけで、複数のアプリケーションにアクセスできるようにします。 IAMポートフォリオの一部として、SSOは、適応型MFAのセキュリティを活用しながら、ユーザエクスペリエンスが低下するリスクを軽減します。 
2. パスワードレス認証は、脆弱なパスワード衛生のリスクを軽減します。 パスワードの代わりに、バイオメトリクス認証とデジタル証明書のようなクレデンシャルベースの方法を使用してIDを検証します。
3. モバイルプッシュ認証は、ユーザのモバイルデバイスにプッシュ通知を送信するパスワードレス認証方式の一種です。 これにより、スワイプやボタンへのタッチで、取引の承認、アプリへのアクセス、企業アプリケーションへのログインが可能になります。

Entrust Identityは、当社のIDおよびアクセス管理機能のポートフォリオです。 1つのIAMプラットフォームで、MFAツールおよび認証システム全体を活用し、今日の進化する脅威から従業員、消費者、または市民を保護することができます。

適応型MFAからパスワードレス認証まで、成功に必要なセキュリティ対策をすべてご用意しています。