多要素認証はなぜ必要?パスワード認証のリスクと対策

多要素認証とはどんなものか、具体例と導入方法も解説

#情報システム担当者が知っておきたい基礎知識

schedule 2024/01/29  refresh 2024/04/01

 

サービスにログインする際の認証といえばパスワード認証がまだまだ主流ですが、近年は多要素認証も注目されています。この記事では、パスワード認証のリスクと対策という観点から、多要素認証が必要な理由を説明します。また、多要素認証には具体的にどんな種類の認証があるか、どのように導入するかも解説していきます。

 

>>ホワイトペーパー「なぜFIDO認証が注目されているのか?」をダウンロードする<<

 

多要素認証とは?

多要素認証とは、知識情報、所持情報、生体情報の3つから成る認証要素のうち、2つ以上の認証要素を組み合わせた認証です。3つの認証要素は具体的には以下のようなものです。

認証の3要素

 

例えば、パスワード認証は知識情報のみの1要素認証です。また、少し前までよく見かけた「パスワード+秘密の質問」は、多要素認証ではなく、1要素(知識情報)を2段階で認証している「多段階認証」になります。

 

なぜ多要素認証が必要なのか?

 

パスワード認証にはリスクがある

現在、パスワード認証は多くのサービスで採用されています。しかし、近年は仕事やプライベート、あるいはその両方で利用するSaaSが増えたことで、個人が管理するパスワードの数が急増し、サービスごとに個別のパスワードを設定し記憶することに限界がきています。

記憶力が限界を迎えると、人はどうしても楽な方法を選択してしまいがちです。管理を楽にする方法として、「パスワードを使い回す」「類推しやすいパスワードにする」「簡単なパスワードにする」などが挙げられます。

これらの方法をとってしまうと、パスワードが推測されやすくなり、さらにパスワードを使いまわすことで、ひとつのアカウントのパスワードが漏洩してしまったときに同じパスワードを使用した他のサービスのアカウントも不正アクセスされる可能性があり、被害が大きくなります。そのため、利用するサービスが増えるほどパスワード認証によるリスクも増えています。

では、パスワード認証のリスクとは具体的にどういったものがあるのでしょうか?

パスワード認証は、パスワードさえ判れば、誰でも認証できてしまいます。パスワードは、誕生日など簡単なものに設定していると類推されやすかったり、悪意のある者に入力画面をのぞき見されたり、ユーザー自身がPCなど他人も見れる場所にメモを残してるなど、第三者が情報を入手するため付け込む方法が多くあり、所持情報や生体情報よりも突破する難易度が低いです。そのため、他の認証方法に比べ、不正にアクセスされるリスクがあります。

警視庁のデータ※1では、令和5年上半期にサイバー事案として検挙された事案のうち、不正アクセス禁止法違反の検挙件数が全体の15.9%ありました。不正アクセスの手口として、4割近くと最も多くの割合を占めたのが、「パスワード設定・管理の甘さに付け込んで入手する」という手口でした。

不正アクセスの手口

 

 

 

実際に、退職した社員が、在職時に割り当てられた認証情報を使用して元勤務先のサーバーに不正アクセスし、サーバー内のデータを削除して業務を妨害するという事件も発生しています。この事件では、退職者のアカウント管理が出来ていないことも原因ではありますが、パスワード認証のみの運用では不正アクセスによる被害を受けるリスクが高いことが伺えます。

 

こういった不正アクセスの被害にあうと、業務の停止や情報の流出だけでなく、会社としても信頼を損なう可能性があります。

多要素認証はセキュリティが高い

上述の通り、パスワード認証のみではリスクが高いため、近年では多要素認証が注目されるようになりました。2種類以上の異なる認証要素を利用する多要素認証は、第三者による不正アクセスをされにくく、セキュリティを高めることができます。

認証は、認証要素が多いほどセキュリティが高いと言われています。「知識情報+所持情報」「所持情報+生体情報」など2つ以上の要素を組み合わせることで、より強固な認証を実現できます。

そのため、近年は多要素認証の利用が推奨されています。

多要素認証にはどんな方法があるか?

 

「FIDO認証」なら1回の認証で多要素認証を実現

FIDO認証とは、非営利団体である「FIDOアライアンス」が定めた認証方式で、FIDO2に準拠したデバイス(FIDO認証デバイス)を使用した認証を指します。

FIDO認証デバイスには、Windows Hello、Touch ID/Faca ID、Androidなどがあります。Windows Helloであれば、PCに搭載されたカメラを見る、または指紋センサーにタッチするなどの簡単な動作で認証が可能です。

認証要素はデバイスによって異なりますが、1回の認証で「所持情報+生体情報もしくは知識情報」の2つの認証要素を使った多要素認証を実現します。

FIDO認証は、公開鍵と秘密鍵という一対の鍵を生成する「公開鍵暗号方式」で認証します。「サーバーとユーザーで秘密の情報を共有しない」ことが特長です。

FIDO認証の概要

 

 

FIDO認証デバイスを利用することで、パスワードを使わずに1回の認証でサービスにログインでき、安全性と利便性を両立できます。

 

>>ホワイトペーパー「なぜFIDO認証が注目されているのか?」をダウンロードする<<

 

 

既存のパスワード認証でも、
他の認証要素と組み合わせることで多要素認証を実現可能

既に利用しているパスワード認証に、他の認証要素を組み合わせてセキュリティを高めることも可能です。
具体的には、パスワード+OTP(ワンタイムパスワード)や、パスワード+証明書認証などの方法があります。

2つの認証要素を組み合わせて、「知識情報+所持情報」もしくは「知識情報+生体情報」にすることで、既存のパスワード認証よりさらに安全に利用することができます。

多要素認証の例

 

 

多要素認証を導入するためにはどうすれば良いか?

 

 

サービスに標準搭載されている場合は、すぐに実装可能

ご利用中のクラウドサービスのセキュリティ機能などで多要素認証の設定ができる場合には、すぐに多要素認証を実装することができます。

対応可否はサービスによって異なりますので、利用中のクラウドサービスの設定を確認することをおすすめします。対応可能であれば、設定画面などから設定を行いましょう。

 

 

 

 

サービスの機能で設定できない場合は、IDaaSで実装可能

ご利用中のクラウドサービスが多要素認証に対応していない場合には、IDaaSを導入することで実装できます。

◆解説◆

「IDaaS」とは、複数のサービスのアカウント情報を統合的に管理することが可能なID管理サービスです。多要素認証以外にも、アクセス制御、特権ID管理、ログ管理などの機能も搭載されています。

 

もしご利用中のクラウドサービスが複数ある場合には、シングルサインオン連携することでログイン画面を1つに集約することも可能です。

 

シングルサインオン連携により、今まで個別にログインが必要だったサービスもログインが簡単になるため、ユーザーの利便性向上とセキュリティ強化を同時に叶えることができます。

 

まとめ

今回は、多要素認証の必要性と、パスワード認証のリスクについて解説しました。

近年は管理するサービスが増え、パスワード認証だけでは不正アクセスのリスクが増加していますが、「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせた多要素認証の導入によりセキュリティを向上させることができます。利用中のクラウドサービスで設定出来る場合もありますし、出来ない場合はIDaaSを利用すると多要素認証の導入がスムーズです。

セシオスでは多要素認証も実装可能なIDaaS「SeciossLink」を提供しておりますので、ぜひ導入を検討してみてください。

 

>>ホワイトペーパー「なぜFIDO認証が注目されているのか?」をダウンロードする<<

 

 

 

 

SeciossLink製品資料をダウンロードする

 

お問い合わせはこちら

 

 

※1:警視庁「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について