多要素認証とは

まず、「認証」とは、サービスを利用する際や、システムへのログイン時に「その人が本人であることを証明するプロセス」 を指します。その認証を行う際に、複数の要素を考慮する方法を「多要素認証 (MFA: Multi-Factor Authentication)」と言います。

従来はIDとパスワードを使用した認証が広く使用されていましたが、その方式には脆弱性が指摘されました。理由は、人間が覚えられるパスワードには限界があるため、短く簡単なパスワードを使う傾向があるからです。その結果、パスワードの使い回しや、簡単なパスワードを使用することが多くなり、攻撃者にとって格好の標的となりました。

そこで「多要素認証」が有効な手段として登場しました。この認証方法では、複数の異なる要素を組み合わせることで、なりすましや不正アクセスを防ぐ仕組みを実現しています。たとえば、銀行アプリで利用されるSMS認証や指紋認証、顔認証などは、一般的な多要素認証の一例です。

多要素認証により、認証の安全性を大幅に向上させることができます。多くの場合、「知識」（例: パスワード）、「所有物」（例: スマートフォン）、「生体情報」（例: 指紋や顔認証）の3つのカテゴリの要素を活用します。

例えば、ある銀行のモバイルアプリでは、自分のスマートフォン (所有物)で、ログイン時に自分だけが知っているIDとパスワード(知識)を入力し、最後に顔認証(生体情報)で認証を完了します。このように、複数の要素を組み合わせた認証の仕組みが多要素認証の特徴です。

セキュリティが向上する理由

多要素認証がセキュリティを向上させる理由は、攻撃者がすべての認証要素を突破することが極めて困難だからです。たとえば、パスワードが流出しても、攻撃者が物理的にユーザーのスマートフォンや生体情報を入手することはほとんど不可能です。

さらに、多要素認証はリアルタイムの攻撃にも強い仕組みを持っています。たとえば、フィッシング詐欺でパスワードを盗まれても、攻撃者が次に必要なワンタイムパスワードを即座に取得することは難しいです。なぜなら、ワンタイムパスワードには10分などの有効時間が設けられているからです。このように、複数の認証要素を組み合わせることで、個人情報やシステムへの不正アクセスを効果的に防止できます。

多要素認証の要素

多要素認証は、認証の安全性を確保するために、主に「知識」「所有物」「生体情報」という3つの要素を活用します (それ以外にも場所や行動、時刻などを活用する場合もありますが、ここでは割愛します)。

●知識 (ユーザーが知っているもの）
ユーザーが覚えている情報を使用する要素です。一般的には、パスワードやPINコードが該当します。この要素は簡単に設定できる反面、使い回しや推測されやすいパスワードは攻撃者に狙われやすい欠点もあります。

●所有物 (ユーザーが持っているもの）
ユーザーが所持している物理的なデバイスを使用する要素です。たとえば、スマートフォンや、USBセキュリティキーなどが該当します。

●生体情報 (ユーザーそのもの）
指紋や顔認証、虹彩、静脈といった生体情報を使用する要素です。この要素は「複製が非常に困難」という特徴があり、セキュリティが最も高いとされています。現在では、スマートフォンやノートパソコンなどに標準搭載されていることが増えています。

これらの要素を1つだけ使用するのではなく、2つ以上組み合わせることで、不正アクセスを大幅に防ぐことができます。