ブログ記事
多要素認証のよくある勘違いについて -前編-
2020/04/29
Microsoft社の発表によりますと外出禁止令が出ている地域では同社クラウドサービスの利用率が775%もましているそうです。
こういった背景も含めクラウドサービスの需要が膨れ上がる中、利用される際には情報漏洩や不正アクセスを防止するために細心の注意をはらいセキュリティ対策をより一層考える必要があります。
今回は世間でも浸透しつつある認証方式である「多要素認証」に関して触れていきたいと思います。多要素認証および二要素認証はよく多段階認証や二段階認証と勘違いされていることが多く、似ているようでこちらの違いははっきりと理解していない方も少なくないと思います。せっかくこういった機会ですので正しい理解をしてセキュリティの向上を図っていきましょう。
「二要素認証」≠ 「二段階認証」
違いを説明するには多要素認証の要素を理解する必要があります。
要素とは主に下記の3つを指しています。
| 要素 | 認証 |
| ユーザがしっていること(知識情報) |
・ID/パスワード
・秘密の質問
・PINコード
|
| ユーザが持っているもの(所持情報) |
・ワンタイムパスワード(ハード・ソフト)
・FIDO U2F
・SMS認証
・E-mail認証
・スマホアプリ認証
・暗号表認証
|
| ユーザ自身の特徴(生体情報) |
・指紋認証
・顔認証
|
例えばよくある「IDとパスワード」と「秘密の質問」で二つの認証を行っていたとしても「ユーザがしっていること(知識情報)」要素の認証のみを行っているため二段階認証ですが、二要素認証とは言いません。
アメリカ国立標準技術研究所(NIST)が発表している電子的認証に関するガイドラインかかれている認証強度 AAL(Authenticator Assurance Level)は下記の通りであり。AALが高いほど認証強度が高いということになります。
|
AAL1
|
少なくとも単要素の認証が必要
|
|
AAL2
|
二つの異なる要素の認証(多要素認証)
|
|
AAL3
|
多要素認証に加え、かつ認証手段の一つとしてハードウェア(所有情報)を用いたもの
|
認証強度であるAALでの基準を見る限り、明白に単要素と二要素の認証による認証強度による違いが記載されています。AALでは単要素での多段階認証によってAALは左右されていないこともわかります。
単要素であるID/パスワードのみだとどうしても強固なパスワード設定が必要になりますが同時に利便性が劇的に落ちてしまいます、多要素認証は利便性を失わずにセキュリティの両立ができるため使っておきたいですね。
一旦多要素認証についての説明のみになりましたが次回ではSeciossLinkでの多要素認証についての設定方法など記載していきたいと思います。