多要素認証（MFA）とは？二要素／二段階認証との違いや要素の分類、認証方式を解説

多要素認証（MFA）は、パスワードだけに頼らず複数の要素で本人確認する仕組みで、不正ログインを防ぐための重要な認証技術です。
現在、不正アクセスによる情報の流出・不正利用などのセキュリティ事故が、企業や自治体など多くの現場で確認されています。大手企業だけではなく、中小企業や多くの官公庁、地方公共団体も被害に遭っていることから、あらゆる企業・団体で対策が不可欠です。

この記事では、多要素認証（MFA）の基本を踏まえ、SMSや認証アプリ、プッシュ通知、セキュリティキー、パスキーなどの代表的な認証方式を説明します。また、生体認証の中でも特に有力な「顔認証」を詳しく解説します。

多要素認証（MFA）とは？

総務省が公表する『地方公共団体における情報セキュリティポリシーに関するガイドライン（令和7年3月版）』でも、自治体の情報セキュリティ対策の一環として、多要素認証を含む認証強化の考え方が示されています。また、文部科学省の『教育情報セキュリティポリシーに関するガイドライン（令和7年3月）』では、強固なアクセス制御を行う場面で多要素認証による本人認証が望ましい旨が示され、教育現場の実態を踏まえた運用も含めて整理されています。

ここでは、多要素認証（MFA）の概要について解説します。

多要素認証（MFA）の定義

多要素認証（MFA）とは、さまざまな認証方式の中から2つ以上の要素を組み合わせ、システムやサービス、デバイスなどの利用権限を確認する認証方法です。

本記事における「要素」とは、知識情報・所持情報・生体情報といった本人確認の根拠となる情報の種類を指します。一方で「方式（手段）」とは、SMSや認証アプリ、セキュリティキー、生体認証など、それらの要素を実際に用いて本人確認を行う具体的な実装方法を指します。

認証の三要素（知識・所持・生体）

多要素認証で現在主流となっているものは、主に次の3つの要素に分類されています。

知識情報、所持情報、生体情報の3つを、“認証の三要素“と呼ぶこともあります。

知識情報とは、“ユーザーが知っている“情報のことです。つまり、IDやパスワード、秘密の質問、PINコード（暗証番号）など本人にしか分からない情報を活用し、当人かどうかを確認する手段です。安価で、ユーザーにとっても使い勝手がよいことから、多くのシステムやアカウント認証などに用いられています。

所持情報によって認証する場合、スマートフォンやICカード、ワンタイムパスワード、USBトークンなど、その人が持っているものを活用して当人かどうかを認証します。スマホを用いた認証方法にはアプリ・SMS認証が、ICカードを用いた方法には「社員証ICカード」「ワンタイムパスワード用トークン」「セキュリティキー」などでの認証が代表的です。また、ICチップや磁気の仕組みを用いたキャッシュカードやクレジットカードの認証も、一般的に所持情報による認証方式に分類されています。

多くのスマートフォンのセキュリティシステムに組み込まれているため、ある意味最も身近な認証方式かもしれません。また昨今は、網膜や静脈、虹彩、声紋といった生体情報も、さまざまなセキュリティシステムに活用され始めています。

生体認証についてはこちらの記事でも紹介しています。

代表的な認証方式の種類と特徴

多要素認証（MFA）は複数の「要素（知識・所持・生体など）」を組み合わせる考え方ですが、現場では次のような「方式（手段）」として実装されるのが一般的です。方式ごとに利便性と耐性が異なるため、用途とリスクに合わせて選定します。

方式	説明
SMS（ワンタイムコード）	携帯電話のSMSでワンタイムコードを受け取り入力して認証します。導入しやすく、利用者にも分かりやすい方式です。
認証アプリ（ワンタイムコード）	認証アプリが生成するワンタイムコード（一定時間で変わるコード）を入力して認証します。SMSより「通信回線への依存」が小さく、一般的に広く採用されています。
プッシュ通知（承認）	スマートフォンに届くプッシュ通知を「承認」して認証します。入力負荷が小さく、ユーザー体験を損ねにくい方式です。
トークン（ハードウェアトークン／OTP生成器など）	専用の物理デバイスでワンタイムコードを生成し、入力して認証します。スマホを使えない環境でも運用しやすい点がメリットです。
セキュリティキー（FIDO2セキュリティキー）	USB/NFCなどの外部セキュリティキーを用いて認証を行う方式で、パスワードレス認証やパスワードに依存しない強固な認証を実現できます。公開鍵暗号を前提とするため、フィッシングに強い選択肢として位置づけられます。
パスキー	パスワードが不要で、端末（OS）側の仕組みと連携してサインインする方式です。Microsoftでは、FIDO2に準拠したパスキーやセキュリティキーを「フィッシングに強い認証方法」として推奨しています。

二要素認証（2FA）・二段階認証との違い

多要素認証（MFA）は、複数の異なる認証要素（知識・所持・生体）を組み合わせる認証全般を指します。

主な組み合わせは下記のようなパターンです。

それぞれの要素にはセキュリティ強度におけるメリット・デメリットがありますが、組み合わせることでセキュリティ強度を高められると考えられます。

一方で「二段階認証」は、文字通り認証が2つの「段階」に分かれている方式を指します。ID・パスワードに加えて、ワンタイムパスワードやセキュリティコードを入力するというようなケースが多いでしょう。二要素認証と二段階認証はともに認証を2回以上行うという点では同じですが、二段階認証は同様の要素で2回認証を行うことも含まれるため、一般的には二つの異なる要素を必要とする二要素認証の方がより安全と言えます。

基本的には、二要素や二段階で認証を行うのですが、安全が確認できる環境では、ID・パスワードのみで認証を行い、IPアドレスが変わった場合などには別の要素での認証を求めるというような方式です。

このように、さまざまな認証方式が登場していますが、今後「ID・パスワードのみ」という認証は少なくなることでしょう。

多要素認証（MFA）の必要性

PCへの不正アクセスによる情報漏えいに対しては、一般企業だけでなく官公庁・自治体などのWebサイトやサーバーも同様のセキュリティ対策が求められます。過去には数百万件にも及ぶ個人情報が漏えいした事件や、メールで言葉巧みに官公庁の担当者をだまし、不正アクセスのきっかけをつかむような事件も発生しています。
こうした事件の要因として大きいのが「ログイン方法」です。今やパスワード認証だけでは不十分なため、セキュアなログイン方法の整備が課題となっています。
ここでは、なぜ今、多要素認証（MFA）が必要とされているのか、わかりやすく解説します。

サイバー犯罪対策の要となる不正ログイン対策

ますます巧妙化する、企業へのサイバー犯罪。その対策をWebやネットワーク、サーバーなどの担当者は強化していることでしょう。このようなネットワーク上の対策に加えもう1つ、対策すべき重要なポイントがあります。

もし、悪意を持つ者にPCのログインを許してしまうと、大きな被害が出ることが予測されます。まず考えられるのが、機密情報や個人情報などの漏えい。もしそれが、マイナンバー情報など個人情報を管理しているPCであれば、被害は甚大なものになるでしょう。それ以外にも、PCの持ち主になりすますことで、さまざまな犯行が行われてしまう可能性もあります。このような新たな脅威への備えが急務なのです。

パスワードの限界をカバーする多要素認証（MFA）

PCへの不正なログインを許さない仕組みとして、IDとパスワードを入力して認証することが一般的でしょう。そして、パスワードは定期的に変更している…という対策をしている企業も多いかもしれません。しかし、パスワード管理が複雑になればなるほど、逆に「PCに付箋を貼る」人が増えたり、パスワードを安易に使い回す傾向があり、その結果「パスワードリスト攻撃」の標的にならないとも限りません。

2019年4月24日、Microsoftが「多要素認証を用いて管理者のアカウントをセキュアにし、電子メールの転送ルールを無効化する」といった、設定プロセスをガイドするサービスを提供開始しました。
さらに同社のブログでは、「多要素認証によるサインイン手法を用いることで、セキュリティ侵害を99.9%低減できるとともに、パスワードをなくしてユーザーエクスペリエンスをよりシンプルにできる」と述べています。
このことから、Microsoftは多要素認証を「セキュリティ対策」だけでなく、「利便性を損なわない標準的な認証基盤」として位置づけていることが分かります。

もはや、多要素認証（MFA）が強固なログイン方法の主流になりつつあるといっても、過言ではありません。

多要素認証（MFA）が突破されるリスク

多要素認証（MFA）は、パスワード単体より不正ログインを防ぎやすい一方で、導入しただけで万能な防御手段になるわけではありません。
攻撃側もMFAを前提に手口を変えており、「方式（手段）」や「運用」しだいでは突破されるリスクが残ります。

例えば、フィッシングでセッション情報を奪われる、偽のプッシュ通知を何度も送ってユーザーに誤認させる、SIMの乗っ取りによるSMS受信、といった手口があります。

MFA導入後も「方式によって強み・弱みがある」点を踏まえ、重要なアカウントではフィッシング耐性を含めた方式を選定したり、端末での本人性や利便性を重視したい場合は生体認証を採用したりするなどの運用設計が重要です。

生体認証の中でも有力な「顔認証」

多要素認証（MFA）の要素に生体認証を組み合わせることで、利用者の覚える手間を減らしつつ、悪意のある第三者のなりすましを防ぎます。
中でも顔認証は非接触で運用しやすく、業務端末や入退室など幅広いシーンで採用されています。

生体認証（指紋・静脈・顔など）の特徴と注意点

生体認証の強みは、身体的特徴を用いるため、パスワード盗難やコピーによるなりすましリスクを下げやすい点にあります。
また、IDやパスワードを覚える負担が減り、認証もスムーズです。
一方で、認証精度を100%にすることは難しく、指紋認証では指が濡れていたり、顔認証ではマスクやメガネ、メイクなど外的要因で認証できない場合があります。
さらに、生体情報の変更は容易にできないため、暗号化や代替手段といった漏えい対策も前提となります。

顔認証が注目される背景

顔認証は、端末やゲートに触れずに本人確認でき、カード携帯や紛失対応の負担を減らせる点が評価されています。認証スピードも比較的早いため、入退室管理などで混雑を緩和しやすいです。
利用環境（照明や顔の向き、マスク等）の影響を受けやすいのが弱点ですが、近年は認証精度が大きく向上しています。

顔認証システムについてはこちらの記事でも紹介しています。

SmartSESAME PCログオンが選ばれる3つの理由

理由1：専用サーバー不要

SmartSESAME PCログオンは専用の認証サーバー／ログサーバーが不要
ADに認証データを格納、ADサーバーに管理ソフトウェアをインストール可能。
サーバーを追加することなくご導入できます。

理由2：かんたん運用

徹底したスリム設計で二要素認証機能に特化。
管理項目が少なく引き継ぎも簡単

理由3：業界最安値

例）端末500台導入時の標準価格　※5年保守込み
ICカード認証（AD版）7,500,000円～
※お客様の環境により別途費用が掛かる場合があります。

まとめ

不正アクセスや情報の不正利用は、デバイスやシステムのユーザーだけではなく、それを所持・管理する企業などにも大きな悪影響をもたらします。コロナウイルスの影響から定着しつつあるテレワーク環境下では、より従業員のPC管理が求められます。パスワードをはじめとした知識情報だけではなく、所持・生体情報を組み合わせた多要素認証の重要性がより増すでしょう。

シーイーシーでは、PCセキュリティを強化する次世代セキュリティソリューション「SmartSESAME PCログオン」を提供しています。所持認証と、指紋や指静脈、顔など最新の生体認証の仕組みを組み合わせた多要素認証システムを取り入れており、サーバーの新たな構築なども不要なため、低コストで多要素認証を導入できます。また、マスク対応のAI顔認証により、PCセキュリティを強化可能です。

同サービスは、岡山県倉敷市役所や、京都府庁といった行政機関に加え、証券や物流など、さまざまな企業が導入。セキュアなPC環境を構築しています。

セキュリティ関連の記事はこちら