多要素認証（MFA）：定義やメリット、例を紹介

多要素認証（MFA）とは、「Multi Factor Authentication」の略で、オンライン上でシステムやサービスへのログイン時にユーザーの身元を確認するために、認証の3要素である「知識情報」、「所持情報」、「生体情報」の中から2つ以上を組み合わせて認証するセキュリティ手法のことです。オンライン上でサービスにログインしたり、決済する際に多要素認証を導入することで、外部からの不正なアクセスを防止するなど、情報漏えい対策として様々な組織が導入しています。

従来のオンラインサービスでは、「ID」と「パスワード」の知識情報を入力することでログインすることができる「一要素認証」が一般的でした。しかし、サイバー犯罪の発生率がここ数年間で急激に増加しており、IDやパスワードはサイバー犯罪者をはじめとする第三者に簡単に盗まれてしまいやすく、多くの人々の悩みとなっていました。そこで登場したのが多要素認証（MFA）です。

多要素認証は、オンライン上サービス上で認証確認する際に2つ以上の認証情報が必要になり、2つ以上揃わないと認証されません。この組み合わせによって一要素認証よりも格段にセキュリティレベルが上がり、不正アクセスやオンラインサービス上で使用しているアカウントの乗っ取り、個人情報の漏えいなどのリスクを最小限に抑えることができるようになっています。

上記では、多要素認証のと定義と仕組みについて紹介しました。ここでは、現在、最も一般的に使用されている3つの種類の多要素認証とそれぞれの注意点について解説します。

• 知識情報：パスワードをはじめ、PINコード、そして本人が設定した秘密の質問など、本人しか知らない情報のことを「知識情報」と呼びます。一要素認証でもよく使用されているパスワードも知識情報です。オンライン上の各サービスを利用する際、最初に会員登録などが必要になる場合が多いですが、そこで本人だけが知っているIDやパスワード情報をシステムに記憶させ、ログインする時に入力して一致させるというシンプルな仕組みです。同様に秘密の質問もIDやパスワードを忘れた場合に再発行するために必要となるものでこれも自分自身で設定することができます。また、PINコードは最初にユーザー側が設定する4〜8桁の暗証番号のことで、これは主に新しいパソコンやAndroidやiPhoneなどのスマホを利用し始める際に第三者に無断利用されないために最初に設定します。
• 所持情報：本人だけが物理的に所持している物の情報を「所持情報」といいます。具体的には、本人名義のクレジットカードやキャッシュカード、運転免許証や健康保険証、スマートフォンなど、本人だけが所有している物の情報を認証情報として扱い、システムに入力します。また、金融機関でよく利用されているハードウェアトークンであるワンタイムパスワード（OTP）も所持情報です。ワンタイムパスワードは、その名の通り一時的に発行される1回きりのセキュリティキーであるパスワードで、本人のスマホにSMSで届いたり、ダウンロードされている金融機関のアプリ上に表示されることから知識情報ではなく所持情報といえます。その他にも、電話によってセキュリティキーを知られるものやクレジットカード決済を利用した際にメールとして本人に送信されるワンタイムキーなども存在します。
• 生体情報：人間の身体的な特徴を使って生体認証する情報のことを「生体情報」と呼びます。指紋認証をはじめ、音声認証、顔認証、目の中の虹彩認証など、人間の体の様々な部分を認証するために利用した方法があります。その中でも最も認知度が高いのは「指紋認証」です。導入コストが比較的安いことから本人認証を確認するための生体情報としてiOSデバイスやWindowsなどに用いられています。

多要素認証は、セキュリティレベルが向上しますが、完全に安全とは言い切れないため、注意が必要です。以下に各多要素認証の注意点とその解決方法について紹介します。

• 知識情報の注意点：たとえば、複数の知識情報を使用する場合、それらの要素を適切に管理し、紛失や漏えいを防ぐために注意が必要です。複数のパスワードやIDを保管する必要がある場合は、安全に認証情報を保管できるパスワードマネージャーを利用しましょう。
• 所持情報の注意点：所持情報として使用しているスマホやクレジットカード自体を盗まれてしまうと、盗んだ相手が勝手に認証させられてしまうリスクがああります。普段からリモートロック機能をはじめ、紛失時や盗難時に役立つ「iPhoneを探す」などの機能をオンにしておくなど、万が一の場合に備えて対策を講じておくことをおすすめします。
• 生体情報の注意点：生体認証は指紋や顔、虹彩などを読み取るため、事前に登録した人と一致しない限り認証を突破することができず、知識情報と所持情報よりも安全性が高いといえます。しかし、偽造した情報で認証を突破されるケースもあります。例えば、「指紋採取」を装って生体情報を物理的に盗み出す事件も起きており、生体情報だけでは絶対的なセキュリティを保証できないのが現状です。より高いセキュリティを確保するためには、こうした生体情報を含む複数の要素を組み合わせた多要素認証を導入することが強く推奨されます。

多要素認証は、外部からのさまざまなサイバー攻撃に対して最初の防御壁となるネットワークセキュリティーを構築する上で必要不可欠な存在といえます。ここでは、多要素認証を利用する際の利点と重要性について紹介します。

• 各企業のセキュリティ対策を強化：最近、日本では数多くの特殊詐欺が発生しており、連日話題になっています。警察庁の特殊詐欺対策ページの「特殊詐欺発生状況」を見る限り、2022年に起きた特殊詐欺事件は17570件、被害額は合計370億円以上にものぼることがわかっています。特殊詐欺の多くは、犯罪組織が電話やインターネットを利用し、多額のお金を盗み取る悪質な犯行です。同じく警察庁の「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー犯罪の検挙件数も毎年増加しており、その中でも詐欺の件数が最も多いことがわかります。このような背景から、日本国内にある大小問わず多くの企業は自社のアクセス権限やパスワード管理方法・認証方法などを改めて見直す必要性があり、各社のセキュリティ対策をより強化するためにも多要素認証を導入することは大きなメリットでとなるでしょう。
• 巧妙化するサイバー犯罪へのセキュリティ対策：現在、報告されているサイバー攻撃は日を追うごとに高度化、巧妙化しており、これまでの認証にIDとパスワードだけを必要とする一要素認証は、サイバー犯罪者達に簡単に見破られてしまう可能性が高いといえます。このような状況下でも、いまだに推測されやすいパスワードを利用しているユーザーも多いです。年々、巧妙化するサイバー犯罪の餌食にならないためにも、複数の認証方法を組み合わせる多要素認証を利用することが重要といえます。
• 管理するアカウントの増加：デジタル化が進むにつれて、自分自身で管理するオンラインサービスのアカウントが増えているという人も多いのではないでしょうか。一つ一つ異なったアカウントのIDとパスワードを管理するのは非常に労力がかかるので、同じもしくは類似したパスワードを複数のオンラインサービスで使い回しをしているケースをよくみかけます。たとえ文字や数字を複雑に組み合わせた強固なパスワードを設定していたとしても複数のアカウントで使い回しをしている場合は、一気に複数アカウントをハッキングされてしまう危険性があります。そのような被害に遭わないためにもログインする際に複数の異なる認証が必要な多要素認証を利用することで危険を回避することができるでしょう。

多要素認証は、さまざまな形で私達の生活の中に浸透しています。以下では、多要素認証を使用している具体的な例を紹介します。

• ATM：銀行やコンビニにあるATMでお金を引き出す際にも多要素認証が導入されています。まず、「所持情報」であるキャッシュカードをATMに挿入し、次に「知識情報」である暗証番号を入力することでお金の出入金や残高照会をすることができます。
• オンラインバンキング：ATMと同様にオンラインバンキングでも、お金の出入金の際に多要素認証が必要になります。自分のアカウントへログインするためには、「知識情報」であるIDとパスワードに加えて口座番号や支店番号、秘密の質問などが要求される場合があります。加えて最近は支払いする際に、「所持情報」であるワンタイムパスワード（OTP）やスマートフォン内のアプリを用いた認多要素認証が導入されています。
• クラウドサービス：近年、多くの企業がコスト削減とと業務効率化のために社内システムをクラウド化するクラウドサービスへ移行しており、個人のユーザーでもクラウドサービスを利用者が増えています。しかし、気になるのがやはりセキュリティ面で、データを保有しているクラウド内の情報の漏洩などが危惧されています。これまでのクラウドサービスの主な認証方法は、IDとパスワードによる「知識情報」が一般的でしたが、最近はサーバーやストレージを提供しているAWSをはじめ、WordやExcelを提供するMicorosoft 365など大手企業を中心にセキュリティ面を強化するために多要素認証を導入するクラウドサービスが増えています。このように多要素認証は、クラウト上のデータを保護するクラウドセキュリティを構築する上で重要な役割を担っています。
• ソーシャルメディア（SNS）：SNSが登場した初期の頃は、ログインする際に「知識情報」であるID、パスワードでの一要素認証が一般的でした。しかし、ここ数年のうちにFacebookやX（旧Twitter）をはじめとするいくつかのSNSでは、従来のID、パスワードに加えて、「所持情報」であるスマートフォンに届くSMSを組み合わせた多要素認証を採用しています。SNSにログインする際に多要素認証を取り入れることでよりセキュリティレベルを高め、第三者によるアカウントの乗っ取りによって発生する犯罪を防ぐことができます。
• オンラインショッピング：Amazonを代表とするオンラインショッピングでも、「知識情報」のID、パスワードに加えて、「所持情報」であるスマートフォンに届くSMSを利用した多要素認証が採用されています。これまでオンラインショッピングのアカウントが乗っ取られて不正ログインされて、勝手に商品を購入されたり、クレジットカードや個人情報が悪用されてしまう事件が起きており、多要素認証はそれらの犯罪行為を防ぐ役割を担っています。
• VPN：VPN（仮想プライベートネットワーク）でも多要素認証を導入するプロバイダーが増えてきています。現在、多くの企業がリモートワークによる働き方を推奨しており、VPNの必要性が増してきています。しかし、サイバー犯罪者達はVPNを狙ったサイバー攻撃を仕掛け、VPNを経由しての不正アクセスや情報漏えいを企てています。それらの犯罪を防止するためにも、VPNにアクセスする際に多要素認証による認証方法が必要不可欠といえます。NordVPNでは、Nordアカウント向けの多要素認証を提供しており、認証アプリやセキュリティキーを利用して認証することでNordアカウントのセキュリティを大幅に向上させ、常に安全にVPNに接続することができるようになります。

これまで多要素認証について解説してきましたが、認証方法にはもう一つ、二段階認証という一般的に知られている方法もあります。以下では多要素認証と二段階認証の違いについて解説します。

認証に必要な要素の数:

• 多要素認証（MFA）: 多要素認証は、認証に複数の要素（通常は3つ）を使用するセキュリティプロセスです。これには、知識情報（パスワード）、所有情報（デバイスやトークン）、生体情報（指紋や顔認識）などが含まれます。
• 二段階認証（2FA）: 二段階認証は、認証に2つの要素を使用するセキュリティプロセスです。通常、パスワード（知識情報）とSMSコードや認証アプリからのコード（所有情報）の組み合わせが使用されます。二段階認証は多要素認証の一部と言えます。

セキュリティの強度:

• 多要素認証（MFA）: 多要素認証は3つの要素を組み合わせて使用するため、通常は二段階認証よりもセキュリティの強度が高いと見なされます。生体認証などの生体情報も含まれるため、より高い安全性を提供します。
• 二段階認証（2FA）: 二段階認証は2つの要素の組み合わせであり、セキュリティの強度は多要素認証よりも低い傾向があります。ただし、パスワードだけの認証よりはるかに安全です。

利用可能性:

• 多要素認証（MFA）:多要素認証は、多くのオンラインサービスやアプリケーションで提供されていますが、設定や管理が比較的複雑な場合があります。高度なセキュリティを必要とする環境で一般的です。
• 二段階認証（2FA）: 二段階認証は多要素認証の一形態であり、より広く一般的に利用されています。多くのオンラインサービスで比較的簡単に設定でき、一般のユーザーにもアクセス可能です。

また、二段階認証とは別に「二要素認証」と呼ばれる認証方法も存在します。二段階認証は認証プロセスを2つの異なるカテゴリー（通常は「知識情報」と「所有情報」）に分割し、各カテゴリーから1つずつ要素を選びます。一方、二要素認証は認証プロセスで2つの要素を使用することを指し、要素の種類に対する厳密な制約がないため、場合によって異なる実装が考えられます。このため、二要素認証の方が一般的には明確な要素の分類がなされており、セキュリティの向上においてより広く受け入れられています。

これまで多要素認証に関する仕組みや導入する事で得られるメリット等を紹介してきました。最後に多要素認証を導入する方法についてまとめました。

オンライン上でのさまざまなサイバー攻撃を防ぐためにはお使いのオンラインサービスにおいての多要素認証の導入が必要不可欠なことがわかりました。現在、利用しているオンラインサービスで多要素認証を導入する場合は、各サービスの公式サイト内から「多要素認証の設定方法」を見つけ出し、手順に沿って行ないましょう。また、サービスによっては、多要素認証ではなく、二要素認証や二段階認証を取り入れているものもあります。

オンライン上でのユーザーの認証方法は、ひと昔前の一要素認証だけでは不十分でさまざまなサイバー攻撃を防ぐことは難しくなっています。多要素認証は毎回ログインする際に多少の手間はかかりますが、無料で導入することができるセキュリティ対策です。多要素認証は、自分自身と自分のアカウントを守るためには必要不可欠で、導入することでセキュリティ面がより強化されるでしょう。