セキュリティに対する重要性は理解したけれど、用語が難しくてという声を聞くことがよくあります。そんな方に、「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第21回は、「多要素認証」についてです。
多要素認証は、英語ではMulti-Factor Authenticationという単語です。IT用語で、Authentication(認証)とは、ネットワークやサーバーへ接続するときに、例えば、IDとパスワードの組み合わせを使って、その人が本人かどうかを確認することです。Multi-Factorとは、多要素という意味です。
多要素認証とは、IDとパスワード以外に、別の認証要素(指紋や掌紋など)を組み合わせる、つまり、多要素を使って、認証することをいいます。
従来、認証方法として、多くの企業、組織、あるいはネットサービスでは、IDとパスワードを使うパスワード認証が多く利用されてきました。このパスワード認証を突破するために、さまざまな方法がとられています。例えば、突破するためのすべてのパターンを入力して解読するブルートフォースアタックや、よくパスワードに利用される単語や文字例を利用する辞書攻撃、さらに、今までに紹介したソーシャルエンジニアリングやフィッシングといった方法が使われています。
そこで、より安全に認証を行うために、近年広く利用されるようになってきているのが、多要素認証です。
本人であるかどうかを認証するために使われる情報は、もちろん本人固有の情報である必要があります。その認証方式には以下に説明する 3つの要素「記憶」、「所持」、「バイオメトリクス情報」があり、認証の3要素とも言われます。多要素認証はこれらの3要素のうち、複数の要素の組み合わせで実現します。
- 記憶(SYK: Something You Know)
本人のみが記憶しているデータに基づいて利用者を認証する方法であり、パスワード、パスフレーズ、PIN(Personal Identification Number)などがこれに当たる。これらの記憶データは他人に知られないようにしておかなければならない。
- 所持(SYH: Something You Have)
本人のみが所持している物によって利用者を認証する方法であり、IC カードやスマートカード、ワンタイムパスワードのトークンなどがある。これらの所持物を他人に貸したりしてはいけない。所持物は紛失や盗難の危険性がある。紛失や盗難時の安全性のためにこれらのカードを利用するに当たっては記憶要素(PIN)と組み合わせで用いることが多い。
- バイオメトリクス情報(SYA: Something You Are)
本人の生体に基づくデータにより利用者を認証する方法であり、本人の特性としての指紋、音声、虹彩、顔の形などを識別することによる。この方法は本人に結びついたデータによるもので記憶忘れや所持物の紛失などの問題はない。
「オンライン本人認証方式の実態調査 報告書」(独立行政法人情報処理推進機構)から抜
多要素認証を利用する実際の運用では、3つ以上の多要素を使うよりも、2つの要素を組み合わせた2要素認証が多くなっています。例えば、Twitter/Facebook/Gmailといったネットサービスでは、2要素認証を提供しています。
2要素認証は、これまでのパスワード認証に比較して、完全に安全というわけではありませんが、セキュリティを大きく向上させることができる方法であるため、セキュリティを確保する方法として、非常に有効です。2つ目の認証としては、事前に渡した乱数表を使ったり、スマートフォンを使って、ワンタイムパスワードを発行する方法などが、多く利用されています。
また、法人向けPCでは、指紋認証が標準装備されている機種も多くなっていることや、Windows 10には、顔や目の虹彩、指紋などを使った生体認証によるサインインできるようにする「Windows Hello」という機能が搭載されていることようになっていることから、生体認証の活用も増えています。
しかし、多要素認証を導入したからと言って、IDとパスワード運用の重要性は変わりません。管理者は、登録されたユーザー情報は厳重に管理する必要があります。また、ユーザーもパスワードの管理には、漏えいさせない、簡単に推測させないなど十分にセキュリティに配慮する必要があります。