多要素認証とは? 二要素/二段階認証との違いや種類。パスワード認証の限界
現在、不正アクセスによる情報の流出・不正利用などのセキュリティ事故が、企業を取り巻くさまざまなシーンで確認されています。大手企業だけではなく、中小企業や多くの官公庁、地方公共団体も被害に遭っていることから、あらゆる企業・団体で対策が不可欠です。
こうしたセキュリティ事故は、なぜ発生するのでしょうか。また、これらを未然に防止する方法はあるのでしょうか。
今回は、セキュリティ対策のソリューションとして注目される「多要素認証」をピックアップし、新たな認証方式の種類や仕組み、セキュアな環境を構築するノウハウなどについて分かりやすく解説していきます。
セキュリティ事故の発生状況・要因について
2017~2019年(平成29年〜令和元年)と過去3年間で急速に増加しています。
この内、不正アクセスを受けた対象(ネットワークに接続されたコンピューターのアクセス管理者)別に数字を見ると、2020年では一般企業が2,703件と最も多く、約96%を占めました。
不正アクセスの目的は、「インターネットバンキングでの不正送金など」が1,847件、「メールの盗み見などの情報の不正入手」が234件、そして「インターネットショッピングでの不正購入」が176件と続いており、この3つだけで約80%を占めました。
また同年では、ログインIDやパスワードといった識別符号の窃用に関する不正アクセスの手口(検挙件数)は、「フィッシングサイトにより入手したもの」が最多で172件。「言葉巧みに利用権者から聞き出した又はのぞき見したもの」が115件、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が99件と続きました。
このような不正アクセスを未然に防ぐ方法として、IDやパスワードといった識別符号の管理強化などが一層企業に求められています。しかし、これだけでサイバー犯罪を完全に防止することはできません。これは、識別符号の管理強化に加え、利用権者を認証するシステムそのものを見直す必要があるからです。
パスワードだけでは守れない!? 多要素・二要素認証に注目が集まる背景
こうした事件の要因として大きいのが「PCへのログイン」と言われています。パスワード認証だけでなく、その他の多要素・二要素認証が求められる背景を見ていきましょう。
セキュリティリスク:PCログインの問題と危険性
ますます巧妙化する、企業へのサイバー犯罪。その対策をWebやネットワーク、サーバーなどの担当者は強化していることでしょう。このようなネットワーク上の対策に加えもう1つ、対策すべき重要なポイントがあります。それは、従業員・職員・スタッフが日常の業務で使用している「PC」を起動してログインする際の対策です。
もし、悪意を持つ者にPCのログインを許してしまうと、大きな被害が出ることが予測されます。まず考えられるのが、機密情報や個人情報などの漏えい。もしそれが、マイナンバー情報など個人情報を管理しているPCであれば、被害は甚大なものになるでしょう。それ以外にも、PCの持ち主になりすますことで、さまざまな犯行を行われてしまう可能性もあります。このような新たな脅威への備えが急務なのです。
パスワード認証の限界。認証方式の見直しが重要
PCへの不正なログインを許さない仕組みが必要となりますが、多くの場合、IDとパスワードを入力して認証することが一般的でしょう。そして、パスワードは定期的に変更している…という対策をしている企業も多いかもしれません。しかし、パスワード管理が複雑になればなるほど、逆に「PCに付箋を貼る」人が増えたり、パスワードを安易に使い回す傾向があり、その結果「パスワードリスト攻撃」の標的にならないとも限りません。
2019年4月24日、Microsoftが「多要素認証を用いて管理者のアカウントをセキュアにし、電子メールの転送ルールを無効化する」といった、設定プロセスをガイドするサービスを提供開始しました。
さらに同社のブログにて「多要素認証によるサインイン手法を用いることで、セキュリティ侵害を99.9%低減できるとともに、パスワードをなくしてユーザーエクスペリエンスを、よりシンプルなものにできる」と記しています。
もはや、多要素認証が主流になるといっても、過言ではありません。
多要素認証とは? 認証3つの種類
2018年9月に総務省が発表した『地方公共団体における情報セキュリティポリシーに関するガイドライン』でも、多要素認証を推奨する記述があります。地方公共団体では多要素認証を導入する団体が増えており、一般企業でももちろん、対策の1つとするべきでしょう。
さらに、2022年(令和4年)3月に改訂された「文部科学省セキュリティガイドライン」には校務用端末におけるセキュリティ対策の一つに多要素認証の導入が定められています。
例えば、マイナンバー制度が施行されることで、企業はその安全な運用・管理が求められるようになります。安全性の高い「マイナンバー業務専用PC」の設置する際のセキュリティ強化策の1つとして、多要素認証は有効と考えられます。
多要素認証のうち、現在主流となっている認証方式は主に3つの要素に分類されます。
知識、持ち物、身体の特徴(生体情報)の3つを指して、”認証の三要素”と呼ばれることもあります。それぞれ見ていきましょう。
多要素認証の認証要素①:知識情報
知識情報とは、“ユーザーが知っている”情報のことです。つまり、IDやパスワード、秘密の質問、PINコード(暗証番号)など本人にしか分からない情報を活用し、当人かどうかを確認する手段です。安価で、ユーザーにとっても使い勝手がよいことから、多くのシステムやアカウント認証などに用いられています。
しかし、この認証方式には弱点があります。同じ知識情報をさまざまな認証シーンで使い回すユーザーが多いため、不正に情報を取得された場合、複数のアカウントやシステムに不正ログインされる可能性が高くなるのです。実際、過去に行われた「個人・企業のパスワード管理に関する意識調査」では、会員制のWebサービスなどを利用する際、ユーザーが記憶可能な2~3個のパスワードを使い回している実態が判明しています。
多要素認証の認証要素②:所持情報
所持情報による認証方式は、スマートフォンやICカード、ワンタイムパスワード、USBトークンなど、その人が持っているものを活用して当人かどうかを認証する仕組みです。スマホを用いた認証方法にはアプリ・SMS認証が、ICカードを用いた方法にはSuicaなど交通関連の認証が挙げられます。また、ICチップや磁気の仕組みを用いたキャッシュカードやクレジットカードの認証も、一般的に所持情報による認証方式に分類されています。
ICカードや磁気カードなどの物理的な認証方式は、便利な半面、紛失や盗難によって他者に不正利用されるリスクが伴います。この内、磁気カードは、スキミングによる情報の不正取得といった危険性もはらんでいます。
多要素認証の認証要素③:生体情報
生体情報による認証方式は、顔や指紋など固有の身体的情報を活用し、本人かどうかを確認する認証方法です。多くのスマートフォンのセキュリティシステムに組み込まれているため、ある意味最も身近な認証方式かもしれません。また昨今は、網膜や静脈、虹彩、声紋といった生体情報も、さまざまなセキュリティシステムに活用され始めています。
生体認証は、固有の身体的情報を用いるため認証の信頼性が極めて高く、パスワードなど知識情報のように記憶する必要がありません。しかし、情報を読取る認証システムの精度によっては、誤認識が一定程度発生するリスクがあります。
二要素/二段階認証との違い
多要素認証の中でも、二つの要素を使う認証のことを二要素認証と呼びます。具体的に下記のようなパターンが挙げられます。
- ID・パスワードとICカード認証
- ID・パスワードとUSBトークン
- ID・パスワードと静脈認証
- ID・パスワードと指紋認証
ID・パスワード+別の要素というのが一般的ではないでしょうか。それぞれの要素には、セキュリティ強度を考えた場合にメリット・デメリットがありますが、組み合わせることで、よりセキュリティ強度は高くなると考えられます。
また一方で、「二段階認証」という言葉を聞いたことがある方もいるのではないでしょうか。文字通り認証が「段階」に分かれている方式を指します。ID・パスワードに加えて、ワンタイムパスワードやセキュリティコードを入力するというようなケースが多いでしょう。二要素認証と二段階認証はともに認証を2回以上行うという点では同じですが、二段階認証は一要素の中で2回認証を行うことも含まれるため、二つの要素を必要とする二要素認証の方がより安全と言えます。
ほかの認証方式として、「リスクベース認証」という認証方式もあります。基本的には、二要素や二段階で認証を行うのですが、安全が確認できる環境では、ID・パスワードのみで認証を行い、IPアドレスが変わった場合などには別の要素での認証を求めるというような方式です。
このように、さまざまな認証方式が登場していますが、今後「ID・パスワードのみ」という認証は少なくなることでしょう。セキュリティ対策を考える上でも、多要素・二要素認証、二段階認証を早期に採用することをおすすめします。
多要素認証について詳しくはこちら
まとめ
不正アクセスや情報の不正利用は、デバイスやシステムのユーザーだけではなく、それを所持・管理する企業などにも大きな悪影響をもたらします。コロナウイルスの影響から定着しつつあるテレワーク環境下では、より従業員のPC管理が求められます。パスワードをはじめとした知識情報だけではなく、所持・生体情報を組み合わせた多要素認証の重要性がより増すでしょう。
シーイーシーでは、PCセキュリティを強化する次世代セキュリティソリューション「SmartSESAME PCログオン」を提供しています。所持認証と、指紋や指静脈、顔など最新の生体認証の仕組みを組み合わせた多要素認証システムを取り入れることが可能で、サーバーの新たな構築なども不要なため、低コストで多要素認証を導入できます。
同サービスは、岡山県倉敷市役所や、京都府庁といった行政機関に加え、証券や物流など、さまざまな企業が導入。セキュアなPC環境を構築しています。
ICカードや生体認証でPCセキュリティを強化「SmartSESAME PCログオン」