多要素認証（MFA）技術とは？

MFA（多要素認証）とは、アカウント、サービス、またはアプリケーションにアクセスするために、2つ以上の別々のタイプの認証方法を使用して本人であることを証明することをユーザに要求するセキュリティ手法です。 これは通常、知識要素（パスワードのようにあなたが知っているもの）と所有要素（デバイスのようにあなたが持っているもの）および／または内在要素（指紋や顔のようにあなたの一部であるもの）を組み合わせたものです。

身元を確認することは、これまで以上に重要になっています： Entrust 2025 Identity Fraud Reportによると、AIの技術革新によってID攻撃が急増しています。ユーザ名とパスワードだけではもはやアカウントを保護できないため、多くの企業がMFAを採用しています。

MFAをご存知ないですか？ それがあなたのビジネスや組織をどのように守ることができるのか知りたいですか？ MFAについて知っておくべきこと、そしてなぜMFAが堅牢なIDおよびアクセス管理に不可欠なのか、その理由をお読みください。

• MFAは、ユーザ名とパスワード以外に少なくとも1つの認証要素を要求することで、セキュリティを向上させます。
• 組織は、システムやデータへの安全なリモートアクセスやオンサイトアクセスのために、従業員にMFAを要求することができます。
• MFAの要素は、多くの場合、知識（知っていること）、所有物（持っているもの）、または固有性（自分が何者か）に関連します。
• IDベースの攻撃がより一般的かつ巧妙になるにつれて、MFAをID検証プロセスに統合することが重要になってきます。
• MFAは、業界の重要な規制を遵守する上で不可欠な役割を果たします。
• AI、バイオメトリック・イノベーション、ブロックチェーンといった技術の進歩は、脅威が進化する中でもMFAをより強固で安全なものにしています。
• Entrustは、生体認証オンボーディングとKYC/AMLに始まり、安全なアクセスとハイリスクなトランザクションの認証を可能にし、適応型リスクスコアリングとCIAMポリシー実施を通じて継続的なコンプライアンスを保証する、統一されたアイデンティティ・ビューで金融機関の消費者ジャーニーの安全確保を支援します。

MFAとは？National Institute of Standards and Technology（NIST）によると、MFAとは、ウェブサイト、アプリケーション、またはシステムを利用するために、複数の明確な「認証要素」を必要とする認証方法です。

認証要素とは、ユーザが特定のリソースにアクセスしようとするときに、ユーザのIDを検証するセキュリティクレデンシャルのことです。 例えば、誰かが電子メールアカウントにログインするとき、彼らは通常、ユーザ名とパスワードを送信します。 これらのクレデンシャルは識別の一形態であり、要求が悪意のある人物ではなく正当なユーザからのものであることを示します。

多要素認証は、少なくとも1つの追加要素を要求することで、このプロセスをより安全にすることを目的としています。 なぜでしょうか なぜなら、悪意のある人物がログイン認証情報を漏洩させると、重要なリソースや機密情報への不正アクセスが可能になるからです。

例えば、サイバー犯罪者があなたの組織の特権ユーザ（例えば、重要なITシステムにアクセスし、一般ユーザには許可されていない活動を実行する権限を持つ人物）のアカウントにアクセスしたとしましょう。 彼らは、社会保障番号や財務情報などの個人識別情報を大量に流出させることができます。 データ漏洩は従業員や顧客のデータ盗難につながり、ビジネスに重大な影響（平均440万ドル）を与える可能性があります。

そこで、MFAソリューションの出番です。 適切なシステムを導入すれば、組織は何重にも強固な認証を行うことで、従業員、消費者、市民のIDを保護することができます。

MFAと二要素認証（2FA）の違いは何ですか？

2FAはちょうど2つの識別子を必要とするので、最低でも2つの要素を必要とする多要素認証のサブセットと言えます。

理論的には、MFAは通常2FAよりも安全です。なぜなら、MFAは特定のユースケースに必要な数の認証者を包含できるからです。 新たな要素が加わるたびに、不正アクセスはより困難になり、ハッカーと機密情報の間に新たな保護層が生まれることになります。

それでも、伝統的なパスワード保護は現代のサイバー脅威に対して脆弱すぎるため、2FAは一要素認証に頼るよりははるかにましです。

MFAの例

組織が多要素認証を使用にするには？ ユースケースのうち、最も一般的なものをいくつか挙げます：

• 従業員のためのリモートアクセス： アメリカだけでも、約23％の人が在宅で仕事をしています。 世界中でハイブリッドワークが増加する中、企業は重要なリソースへの安全なリモートアクセスをユーザに提供しなければなりません。 MFAソリューションは、どこからでも仕事ができる利便性に対応しながら、従業員のIDを識別し、保護することを可能にします。 在宅勤務の政府職員は、電子メール、人事／給与システム、または個人データを含むアプリケーションなどの内部アプリケーションにアクセスする必要がある場合があります。 MFAは、許可された個人だけが安全なネットワーク外でアクセスできることを保証します。
• オンサイトでのシステムアクセス： 同様に、ヘルスケアに関連するオンプレミスのシステムは、保護された情報の重要な保管場所です。 適切なMFAソリューションにより、従業員は、近接バッジをクレデンシャルと並行して使用し、患者データベースに迅速かつ安全にアクセスすることができます。
• 市民のリモートアクセス： 例えば、個人がオンライン政府サービスを利用する場合、MFAは、正当なアカウント所有者だけが個人データにアクセスしたり変更したりできるようにするのに役立ちます。
• 顧客のアクセス： 顧客が金融機関を利用する際、例えば銀行口座へのアクセスや取引を行う場合、MFAは口座名義人だけが関連する資金や情報にアクセスできるようにします。

このプロセスは、使用されているMFA技術とメソッドに依存します。 しかし、具体的な内容はともかく、ワークフローは一般的に次のようになります：

• ユーザログイン： ユーザは、私たちが知っているもの（多くの場合、ユーザ名とパスワード）である最初の認証形式を使って、自分の身元を確認します。 これは、複数のプラットフォームやアプリケーションへのアクセスを可能にする、企業のシングルサインオン・ソリューションの一部である場合があります。
• 認証リクエスト： プライマリログインが成功すると、システムは追加の要素を要求します。
• MFA検証： ユーザは、認証アプリによって生成されたワンタイムパスコード（OTP）、プッシュ通知、生体認証、ハードウェアトークンなどの第2の認証要素を提供します。
  • オプションの第3要素： MFAソリューションは、そのように設定されていれば、より多くの認証要求を呼び出すことができます。
• 認証の成功： すべての要素が確認されれば、ユーザはシステムにアクセスできます。

このプロセスは通常、ほんの一瞬で完了し、ユーザエクスペリエンスにほとんど影響を与えません。 最終的には、3つのカテゴリー：知識、所有物、固有性、に分類される認証方法／要素をいくつ必要とするかによって決まります。

知識要素

知識要素とは、パスワードや暗証番号のように、ユーザしか知らないものを指します。 多要素認証システムは時代とともに知識要素を増やしてきました。最も一般的な例は、秘密の質問に対する答え（例えば、母親の旧姓、高校のマスコットなど）です。

しかし、これらは簡単に推測、フィッシング、ソーシャルエンジニアリングができるため、MFAのどの要素よりも弱い要素です。 例えば、秘密の質問の答えは個人情報に基づくことが多いため、ハッカーがソーシャルメディアのプロフィールからを入手するのは、それほど手間はかかりません。 同様に、フィッシング攻撃も受けやすいです。

所有要素

所有要素には、使用者だけが持っているものが含まれます。 今日、MFA技術の所有物に基づく検証には、いくつかの高度なタイプがあります：

• OTP： EメールまたはSMSで配信されるワンタイムパスコードです。
• プッシュ通知： ユーザのモバイルデバイスに送信される、アクセス要求の確認を求めるアラートです。 
• ハードウェアトークン： FIDO2鍵や、ユーザがデスクトップに接続するその他の物理的なデバイスです。 暗号化された情報が含まれており、ユーザの身元を認証します。
• 仮想セキュリティ鍵： これらはハードウェアトークンのように機能しますが、物理的な鍵を必要とせず、代わりにデバイス内の暗号化クレデンシャルを使用します。
• スマートデバイス： 携帯電話やウェアラブル端末、タブレット端末など、手近なデバイスは認証コードを安全に受け取るのに便利です。
• グリッド カード：現在ではあまり見かけなくなりましたが、一部の組織ではまだこの方法を採用しています。 紙ベースのカードであり、PDFファイルから印刷され、数字と文字で構成された行と列のグリッドが含まれています。 利用者は、所持している固有のカードから、該当するセルに正しい情報を記入しなければなりません。

固有要素

固有要素には、特定のユーザに固有の情報が含まれます。 所有や知識の要素に比べれば、固有性は自分自身であると考えるのが最も簡単です。 したがって、バイオメトリクス認証とも呼ばれ、次のようなMFAメソッドを活用します：

• 指紋
• 網膜スキャン
• 声認識
• 顔認識
• マルチモーダル生体認証（2つ以上のタイプの組み合わせ）

バイオメトリクス認証は生来迂回が困難であるため、固有要素は、多要素認証の最も安全な選択肢の一つです。

適応認証（適応型MFAまたはリスクベース認証とも呼ばれます）は、追加のセキュリティのためにプロセスに統合された、進化するタイプの検証です。 コンテキスト情報を分析して、リソースへのアクセスを要求しているユーザプロファイルのリスクレベルを判断し、それに応じてセキュリティ要件を増減します。

より簡単に言えば、適応型MFAは、リクエストが不正である可能性が高い場合に、追加の要素を要求するのです。 リスクが大きければ大きいほど、その挑戦は強くなります。

たとえば、適応型認証では次のように評価します：

• 失敗した試行回数
• 送信元IPアドレスまたは地理的位置
• デバイスのレピュテーション
• 試行した日と時間
• オペレーティングシステム
• ユーザの役割

ソフトウェアは、これらの要素やその他の要素をユーザの過去の行動とリアルタイムで比較し、認証情報の漏洩を示す可能性のある異常を特定することができます。 アクセス要求が疑わしい場合、OTPやプッシュ通知を使ってユーザに本人確認を促します。 同様に、すべてが正常であれば、何の課題も発生せず、シームレスなユーザエクスペリエンスを提供することができます。

ハッカーは絶え間ないペースでIDを標的にしています。 2024年には、前年比33％増の32億件以上の認証情報が漏洩しました。 その影響は壊滅的です：詐欺、なりすまし、コンプライアンス違反、金銭的損失、風評被害など。

リスクが増大しているにもかかわらず、多くの企業はIDベースの脅威への備えが不十分です。 2024年の調査によると、企業の84％がIDセキュリティに関連するインシデントが業務に直接影響を与えたと回答しており、前年の68％から増加しています。 そのうちの40％以上が、MFAを導入すれば被害を軽減できたと回答しています。 しかし、それを実行したのは半数強に過ぎませんでした。

不正アクセスをより困難にする防御の層によって、MFAは攻撃を減らすことができます。フィッシングや侵入によってパスワードが漏洩した場合でも、MFAは最も巧妙な脅威行為者以外には強力なバリアとして機能します。

さらに、現在では多くのコンプライアンスフレームワークがMFAを要求しており、医療、金融、政府契約などの業界で規制要件を満たすために不可欠となっています。 例えば、刑事司法情報サービス（CJIS）のセキュリティポリシーは、2024年10月1日までに多要素認証（MFA）の導入を義務付けています。

おそらく最も重要なことは、データセキュリティの要素としてのMFA技術が、企業が顧客の信頼とブランドの評判を確保するのに役立つということです。

MFAとゼロトラスト

MFAは過去と現在のサイバー脅威に対する十分な答えですが、決定的に重要なのは、ゼロトラストセキュリティとともに、サイバーに強い未来の基盤でもあることです。

ゼロトラストとは、「決して信用せず、常に検証する」というコンセプトに基づいて構築された最新のセキュリティフレームワークです。 これは、すべてのユーザ、デバイス、アプリケーションを、システムを侵害の潜在的な原因として扱います。 MFAはこのコンセプトを一度だけでなく、継続的に実践することを可能にします。

MFAは、複数の検証形式を要求することで、たとえ1つのクレデンシャルが侵害されたとしても、未承認のアクセスがブロックされたままになることを保証します。 IDおよびアクセス管理（IAM）プラットフォームの一部としてゼロトラストに基づいて構築された堅牢なMFAシステムにより、企業は不正アクセスやIDベースの攻撃を防止する能力に自信を持つことができます。

なぜ多要素認証が必要なのか？ まず第一に、それが多くの利点をもたらしてくれるからです： 

• データセキュリティの強化： MFAは、パスワード疲れ、フィッシング攻撃、その他のクレデンシャルベースの脅威から保護し、アカウント乗っ取りのリスクを低減します。
• コンプライアンスの向上： また、組織がさまざまな規制要件や業界標準を満たすのにも役立ちます。 MFAを使用することで、組織は、脅威の増大に直面してもデータ保護へのコミットメントを示すことができます。
• より強い信頼： 組織がMFAのような強固なセキュリティ対策を採用していることを顧客が知れば、個人データや財務データの安全性に対する信頼は高まります。
• コスト削減： MFAは、企業がインシデント対応、弁護士費用、規制当局からの罰金、風評被害などに伴う多額の出費を回避できるよう支援します。

しかし、MFAには課題もあります。 これには以下が含まれます：

• 不便な点： 追加の要素は、ユーザエクスペリエンスの低下を招き、従業員や顧客の不満につながります。
• 潜在的な脆弱性： MFAは素晴らしいセキュリティメカニズムですが、攻撃を受けないわけではありません。 プロンプト爆弾やSIMスワッピングのような特定の脅威ベクトルは、組織がMFAに加えて、完全な機能を備えたIAMプラットフォームのサポートを必要とすることを明確にしています。 従来の認証方法は、ユーザエクスペリエンスの低下にもつながりかねませんが、バイオメトリクス認証はそれを解決してくれます。

他のセキュリティフレームワークと同様、MFAをうまく導入・維持するには、MFAが効果的に機能するためのベストプラクティスが必要です。 IDおよびアクセス管理プラットフォームは、プロセスとワークフローを最新のプラクティスに一致させます。

• 最小権限の原則に従う。 このコンセプトは、ユーザが業務に必要なシステムやデータだけにアクセスできるようにすることを指します。 認証情報のセットが漏洩した場合、攻撃者のアクセスは制限されます。
• 強固なパスワードポリシーを構築する。 パスワードは一定の長さが必要であり、十分な複雑さのために様々な文字や数字を含むべきです。 また、利用者は定期的にパスワードを更新する必要があります。
• ビジネスニーズに合った要素を選ぶ。 政府機関など、最も高いセキュリティ要件が求められる分野の組織は、マルチモーダル生体認証や適応型認証など、最先端の要素の導入を検討すべきです。 対面での作業を必要とする企業は、行動要因や位置情報を基にした要因を選択することができます。
• すべてのアカウントにMFAを適用する。 これには、インターンや契約社員などの一時的な利用者だけでなく、長期雇用者や上級社員も含まれます。
• MFAを定期的にテストし、更新する。 定期的な監視とメンテナンスにより、MFAプロセスが常に正しく機能していることを保証します。 また、発展途上の技術やセキュリティの脅威からシステムやデータを守るために、MFAを定期的にアップデートすることも重要です。

MFA技術の進歩や新たなトレンドは、今後数年のうちに、その性質や影響を形作ることになるでしょう。 これには以下が含まれます：

• 人工知能： この技術は、ユーザの行動パターン、コンテキストの手がかり、その他の要素を分析するために使用することで、適応型認証を強化することができます。 精度の向上だけでなく、AIを活用した適応型認証は、さまざまな脅威やリスクシナリオに動的に適応することができます。
• 生体認証のイノベーション： MFA認証は、手のひらの静脈や虹彩のスキャン、キーストロークのダイナミクス、さらにはDNAにまで拡大しています。 しかし、組織はプライバシーや倫理に関する懸念に注意しなければなりません。
• パスワードレス認証： ハードウェアセキュリティキー、ワンタイムパスワード、デバイスバインドパスキーのようなツールは、パスワードレス体験をより実用的なものにしています。
• 分散型IDとブロックチェーン技術： この組み合わせにより、ユーザは中央集権的な機関ではなく、ブロックチェーンに保存された暗号鍵を通じて本人確認を行うことができます。 これにより、フィッシング攻撃など、認証情報を使ってシステムにアクセスする多くの手法が排除されます。

Entrustは、受賞歴のあるIAMソリューションの最も幅広いスイートを提供し、いつでもどこでも適切なリソースへのユーザー認証、承認、アクセス制御を提供します。 単一の統一プラットフォーム内で、組織は強力なMFA ツールと認証機能（生体認証を含む）を活用し、シームレスで安全なユーザエクスペリエンスを提供しながら、機密データを保護することができます。

時代遅れの認証方法によって組織が脆弱にならないようにしましょう。 EntrustのインテリジェントなIAMプラットフォームが、利便性を損なうことなくエンタープライズグレードのセキュリティを実現する方法については、eBook「Securing Your Largest Attack Vendor: Identity」をご覧ください。