多要素認証

本人確認のための複数の種類の要素をユーザーに要求する認証方式

多要素認証(たようそにんしょう、英語: Multi-Factor Authentication: MFA)は、アクセス権限を得るのに必要な本人確認のための複数の種類の要素(証拠)をユーザーに要求する認証方式である[1][2][3]

必要な要素が二つの場合は、二要素認証(にようそにんしょう、英語: Two-Factor Authentication: 2FA)、二段階認証(にだんかいにんしょう)とも呼ばれる。

認証に使う要素

編集

多要素認証に使われる要素には、以下のようなものがある。規定の複数の要素を満たしたユーザーを「本人である」と認証するもの。ここで要素数が1点になってしまうと、多要素認証の前提が崩れる。

いずれの要素も、本人だけに属する属性でなければならない。例えばパスワード等は本人だけが知っていなければならず、他人に教え、あるいは知られた時点で認証の前提が崩れる。いずれの要素も、認証の前提が崩れた場合、速やかに権限を(一部)停止する必要がある。

多要素認証は、認証が行われるタイミングについては規定しない。複数の認証は同時に行われる場合もあれば、段階を踏んで行われる場合もある(後述「二段階認証」も参照)。

多要素認証は、パスワードクラックなどに対しては強いが、フィッシング中間者攻撃などに対しては無防備である[4][5]

以下、要素名(情報名)は、総務省[6]情報処理推進機構[7]、および国内で一般に用いられている用語を用いる[8][9][10][11]

記憶情報(知識情報)

編集

一般に「暗証番号(PIN)」や「パスワード」など、認証を行う人物などが認証情報を記憶する形式がこの要素に該当する。人の個人的経験に基づいた記憶情報(知識情報)として、合言葉がある[注釈 1]

この要素は、属人的なもっとも基本的な認証と考えられている。最も一般的に使われる要素で、認証のためにユーザーはある秘密を知っていることを証明する。ほとんどの多要素認証は、要素の一つにこれを使う[12]。人の記憶に頼るため、情報の複雑さには限界がある。またしばしば忘れられて、権限再発行手続が必要となる。

記憶情報(知識情報)は、他人に知られた時点で認証の前提が崩れる。これには、ユーザ自身が同一の情報(パスワード等)を他の認証システムへ登録した場合も含む(ユーザ自身と認証システムAに加え、認証システムBが情報を共有している。いわゆるパスワードの使い廻し)。

記憶情報(知識情報)は、人の記憶によるため複製耐性は最も高い(複製は最も難しい)と考えられている。ユーザ本人から盗む事については、本人を脅迫しない限り困難である。認証デバイスへの入力が必須なため、その際の盗見・盗聴は一般的に容易である。

予め登録したメールアドレスにワンタイムパスワードを送信する方式は、基本的にはこの要素に属する(メールアドレスの受信にメールパスワードを使用するため)。

所持情報

編集

一般に「TOTP」や「電話発信による認証」、「IDカード」など、認証を行う人物などが所有しているものを使った認証がこの要素に該当する。

鍵という考え方は古くからあるが、コンピュータシステムではセキュリティトークンとして扱われる。ワンタイムパスワード生成器や、予め登録した携帯電話等によるSMS認証も、この要素に属する。パスワードも記憶せず何かにメモしていればこの要素に属する。乱数表等(TANを含む)も(全て記憶する事が困難なので)同様である。トークンにはシステムへ接続するか否かで、接続型と非接続型がある。

所持情報は、複製または盗まれると認証の前提が崩れる。

所持情報は、複製耐性によりセキュリティレベルが変化する。一般的に、所持情報に接触できればそれを盗む事は容易である。ハードウェアトークンによるワンタイムパスワード生成器やICカードは、一般的に複製困難と考えられている。ソフトウェアトークンは容易に複製される場合もある。パスワードのメモや乱数表等は、カメラで撮影するだけで取得可能である[注釈 2]磁気カードスキミングだけで取得できる。非接続型のトークンで、ワンタイムパスワードなどのように一旦表示して認証装置に入力する必要があるもの等は、その際の盗見、盗聴が容易である。

生体情報

編集

一般に「指紋認証」「顔認証」「網膜認証」など、認証を行う人物の身体的特徴を利用した認証がこの要素に該当する。

指紋や虹彩、声紋などの生物学的な要素でユーザー本人を生体認証する。タイピング認証も一種の生体認証である。一長一短はあるが、比較的信頼度が高いと考えられている一方で、誤認識の確率も一定程度残る[13]

生体情報は、複製されにくいが、複製された場合には認証の前提が崩れる。

生体情報は、その種類により複製耐性が異なる。音声や外貌、身体認証は複製が容易なため複製検知技術が重要となる。指紋、網膜、虹彩、血管や体臭認証も、複製できる場合もある。盗む事については、本人に強要しない限り困難である。仕組み上、生体認証は盗見、盗聴はほぼ不可能である。

二段階認証

編集

多要素認証における二段階認証、2ステップ認証とは、一般的にパスワードやPINなど「記憶情報(知識情報)」と、もう1つの別の要素を組み合わせたものである。まず最初にパスワード等で認証し、その後に別の要素により認証するというように、段階(ステップ)を踏むため、二段階認証と称する。3つ以上の段階に渡る場合は多段階認証と言う。

多要素認証における二段階認証での2つ目の要素には、オフラインでユーザー宛に送付された情報や、ソフトウェアトークン(乱数発生アプリ)などが一般的に使われる。携帯電話等へのSMS認証も同様である[14]

なお、本表現は「段階」に着目したものである。多段階認証であっても必ずしも多要素認証ではない場合がある。多段階で認証しても用いる要素が「記憶情報(知識情報)」のみであれば、それは1要素の認証(1要素を用いた多段階認証)である(例として、いわゆる「秘密の質問」や、登録メールアドレスへのワンタイムパスワード送信)[9]

事例

編集

金融機関

編集

ATMでは、「所持情報」であるキャッシュカード(または預金通帳)と、「記憶情報(知識情報)」である暗証番号を用いる。

2000年代以降はICキャッシュカード(ICチップ)に「生体情報」を登録し、ATM取引の第三の要素として使用する金融機関が増加したが、顧客利便性の悪さや金融機関のコスト負担の事情から、2020年代に入り、ICキャッシュカードによる生体認証を取り止めたり、「スマホATM」へ移行する動きがある。

インターネットバンキング

編集

インターネットバンキングでは、残高照会等の場合はパスワード(記憶情報)のみ、振込等の資金決済を伴う場面ではワンタイムパスワード(所持情報)や生体情報を加えた多要素認証とし、セキュリティと利便性のバランスを取った運用を行なっている。

2022年以降、SIMスワップ詐欺によって電話番号を窃取され、ワンタイムパスワードを盗んだ上で不正送金する犯罪が発生している。

モバイル決済、QRコード決済

編集

モバイル決済QRコード決済では、金融機関口座は決済元やチャージ元として当該決済サービスとひも付けられる。モバイル決済、QRコード決済自体はSMS認証(所持情報)と生体情報を用いた比較的安全とされる仕様だが、その前段階の「連携(口座ひも付け)」では支店番号・口座番号とキャッシュカード暗証番号(記憶情報(知識情報))のみで認証していた金融機関が多かった。2020年9月、NTTドコモの「ドコモ口座」に端を発した一連の不正出金事件では、その点を突かれ、多数の被害が発生した。

上記事件の後、2020年12月、金融庁は銀行口座とコード決済サービスの連携(口座ひも付け)に関する認証仕様を調査・公表した[15]。調査では3割の金融機関が連携(口座ひも付け)で多要素認証を導入していないことが判明。金融庁はそれら金融機関に対して、2020年度中に多要素認証の導入を義務付ける方針[16]

パソコンにおける二要素認証

編集

旧来はパスワードのみによる一要素認証が主流であったが、ネットワークにおける使用ではパスワード漏洩や使い回し、ハッシュの高速解読(パスワードクラック)など種々の問題が生じたため、2010年代後半から、使用するコンピュータだけに属する(所持情報)とPIN(記憶情報(知識情報))の組み合わせが主流となり始めている(Windows 10など)。ネットワークにおいてパスワードだけの一要素認証は、安全性が低いものと見られ始めている。更に、Windows Hello[17]Touch ID など生体情報(顔認証・指紋認証)も普及が進んでいる。

スマートフォンを用いた二要素認証

編集

各種サービスにおいて、スマートフォンが持つ生体認証(生体情報)機能(Android 生体認証システム[18]や Apple Touch ID/Face ID )と他の何かを組み合わせた二要素認証の普及が進んでいる。

 
スマートフォンの例

認証のため新たに何か(セキュリティトークンなど)を所持することは、紛失や盗難の危険、加えてその管理自体にコストが掛かるという問題がある。しかし携帯電話スマートフォンを認証機構に組み入れれば、追加で専用機を持つ必要がなくなり、肌身離さず持ち歩きやすい。ただし実際に盗難にあってしまうとより大きな被害に遭う可能性ができてしまう。

ウェブブラウザ

編集

ウェブブラウザではW3C Web Authenticationにて生体認証や外部セキュリティキーなどによる多要素認証に対応している。主要なウェブブラウザはWeb Authenticationに対応している。例えばYahoo! JAPANで使用されている[19]

インターネットサービス

編集

2022年以降、各種インターネットサービス(Googleアカウント、NTTドコモ dアカウント、Yahoo! JAPAN ID等)では、パスキーの採用が増えている。これは、所持情報と生体情報を使った二要素認証である。

マイナンバーカード

編集

マイナンバーカードは、ICチップ内に持つ電子証明書を用いて、マイナポータルにおける各種手続きや情報閲覧、公的個人認証サービスe-Tax等の政府系サービス、マイナ保険証等、多くの用途がある。電子証明書の読み取りには暗証番号が必須であり[20]、カード自体(所持情報)と暗証番号(記憶情報(知識情報))の二要素認証を実現している。マイナ保険証で顔認証を用いる場合は、暗証番号に代えて生体認証(生体情報)となる。マイナンバーカードが持つ電子証明書は、2023年5月よりスマートフォンへ搭載が可能となった[21]。これを利用する場合は、所持情報はカード自体に代えて当該スマートフォンとなる。

例外として、マイナンバーカードのICチップ空き領域については、暗証番号無しでの情報読み書きが認められている[22]。地方自治体等において、比較的高いセキュリティを要しないサービスに用いられている。(図書館利用カード等)

地方自治体

編集

2015年に総務省が行った「自治体情報セキュリティ強化対策事業」により、自治体が使用するマイナンバー関連システムに二段階認証が導入された。これは、同年に日本年金機構で起こった「年金管理システムサイバー攻撃問題」を考慮したもの。これに伴い、補助金として233億4,588万円が46都道府県に交付された[23]

2020年1月の会計検査院の調査報告[24]によると、対象の217の市区町村のうち、12の自治体で二要素認証を導入していないマイナンバー利用端末があった。平成31年3月末時点で、2市区町村ではすでに導入され、3市区町村では令和元年度、3市区町村では令和二年度に導入予定としている。しかし、2市区町村では入退室管理がされたサーバ室で使用される限られた端末は一要素で認証できるようにしていた。

多要素認証まとめ

編集
多要素認証まとめ
要素組合わせ
記憶(知識)+所持 銀行ATM(キャッシュカードと暗証番号)

インターネットバンキングでの資金決済(ログインパスワードとSMSやアプリで得たワンタイムパスワード等の場合)

オンライン証券での各種取引(Google Authenticator等を用いる場合)

ICチップ付きクレジットカードの利用(カードとPINコード)

インターネット上でのクレジットカード取引(ワンタイムパスワードの送信手段がSMSやアプリの場合)

オンライン上でのマイナンバーカードの利用(マイナンバーカード(電子証明書)と暗証番号)

マイナ保険証 [暗証番号の場合]

記憶(知識)+生体 インターネットバンキングでの資金決済(ログインパスワードと生体認証の場合)

Windows Hello、Face IDによるPCログイン(PINコードを必要とする場合)

所持+生体 ICキャッシュカードでの生体認証ATM、スマホATM(いずれも暗証番号不要な場合)

モバイル決済、コード決済(初期登録時にSMS認証、利用時に生体認証)

インターネットサービスでのパスキー

マイナ保険証 [顔認証の場合]

記憶(知識)+所持+生体 ICキャッシュカードでの生体認証ATM、スマホATM(いずれも暗証番号も必要な場合)
参考:多要素ではない例
要素
記憶(知識)のみ インターネットバンキングでの残高照会等

オンライン証券での各種取引(取引暗証番号のみの場合)

ID/PasswordのみのPCログインやインターネットサービス

インターネット上でのクレジットカード取引(ワンタイムパスワードの送信手段がメールの場合)

所持のみ 交通系ICカード等、チャージ型電子マネーの利用

クレジットカードでのPIN省略決済、ポストペイ型電子マネー、タッチ決済(非接触型決済

生体のみ 特定の建物への入館、部屋への入室など

関連項目

編集

脚注

編集

注釈

編集
  1. ^ 過去の個人情報の秘密度によりセキュリティレベルが変わる
  2. ^ 分厚い本のような乱数表等は、時間が掛かるかも知れない。

出典

編集
  1. ^ Two-factor authentication: What you need to know (FAQ) - CNET”. CNET. 2015年10月31日閲覧。
  2. ^ How to extract data from an iCloud account with two-factor authentication activated”. iphonebackupextractor.com. 2016年6月8日閲覧。
  3. ^ 多要素認証 | 用語解説 | 野村総合研究所(NRI)”. www.nri.com. 2023年5月16日閲覧。
  4. ^ Brian Krebs (July 10, 2006). “Security Fix - Citibank Phish Spoofs 2-Factor Authentication”. Washington Post. 20 September 2016閲覧。
  5. ^ Bruce Schneier (March 2005). “The Failure of Two-Factor Authentication”. Schneier on Security. 20 September 2016閲覧。
  6. ^ 情報通信白書 for Kids:インターネットの安心安全な使い方:2段階(だんかい)認証(にんしょう)や多要素(ようそ)認証でセキュリティを高めよう”. 情報通信白書 for Kids:インターネットの安心安全な使い方:2段階(だんかい)認証(にんしょう)や多要素(ようそ)認証でセキュリティを高めよう. 2023年5月16日閲覧。
  7. ^ 不正ログイン対策特集ページ | 情報セキュリティ”. IPA 独立行政法人 情報処理推進機構. 2023年5月16日閲覧。
  8. ^ 多要素認証とは?二段階認証との違いやメリットデメリットまで解説|サービス|法人のお客さま|NTT東日本”. クラウドソリューション|サービス|法人のお客さま|NTT東日本. 2023年5月16日閲覧。
  9. ^ a b 多要素認証 | 用語解説 | 野村総合研究所(NRI)”. www.nri.com. 2023年5月16日閲覧。
  10. ^ 二要素認証(多要素認証)で認証強化|統合認証・アクセス管理ソリューション|日立ソリューションズ”. www.hitachi-solutions.co.jp. 2023年5月16日閲覧。
  11. ^ 多要素認証(MFA)とは?|二要素認証・二段階認証との違いやメリットを解説”. GMOインターネットグループ 情報セキュリティブログ. 2023年5月16日閲覧。
  12. ^ Securenvoy - what is 2 factor authentication?”. April 3, 2015閲覧。
  13. ^ Biometrics for Identification and Authentication - Advice on Product Selection Archived 2013年9月27日, at the Wayback Machine.
  14. ^ Two-Step vs. Two-Factor Authentication - Is there a difference?”. Information Security Stack Exchange. 2018年11月30日閲覧。
  15. ^ 「銀行口座と決済サービスの連携に係る認証方法及び決済サービスを通じた不正出金に関する調査」の調査結果の公表について”. www.fsa.go.jp. 2023年5月16日閲覧。
  16. ^ 【独自】金融機関の3割「多要素認証」せず…金融庁が義務付けへ : 経済 : ニュース : 読売新聞オンライン
  17. ^ Windows Hello の概要とセットアップ
  18. ^ 生体認証システム | Android オープンソース プロジェクト”. Android Open Source Project. 2023年5月16日閲覧。
  19. ^ Yahoo! JAPANでの生体認証の取り組み(FIDO2サーバーの仕組みについて) - Yahoo! JAPAN Tech Blog
  20. ^ デジタル庁. “マイナンバーカードのメリットと安全性|デジタル庁”. デジタル庁. 2023年5月16日閲覧。
  21. ^ デジタル庁. “スマホ用電子証明書搭載サービス|デジタル庁”. デジタル庁. 2023年5月16日閲覧。
  22. ^ 総務省|マイナンバー制度とマイナンバーカード|ICチップ空き領域に搭載するカードアプリ(民間事業者向け)”. 総務省. 2023年5月16日閲覧。
  23. ^ 日経クロステック(2020年4月10日)「自治体のマイナンバー端末で二要素認証が形骸化、対策がおろそかになった理由
  24. ^ 会計検査院(2020年1月15日)「国による地方公共団体の情報セキュリティ対策の強化について

外部リンク

編集