MFA(Multi-Factor Authentication)とは何ですか?

多要素認証(MFA)とは、Webサイトやモバイルアプリケーションなどのオンラインリソースにアクセスする前に、少なくとも2つの異なる検証要素を用いて自分の身元を証明することをユーザーに求めるアクセス管理コンポーネントです。 MFAでは、1つの要素が侵害されても、攻撃者は対象者のアカウントにアクセスする前に、少なくとももう1つの障壁を突破しなければなりません。

多要素認証はどのように機能するのですか?

多要素認証(MFA)は、複数の技術を用いてユーザーのアイデンティティを認証します。 これに対し、一要素認証(または単に「認証」)では、単一の技術を用いてユーザーの真正性を証明します。 MFAでは、ユーザーは少なくとも2つの異なるグループまたは認証要素の検証技術を組み合わせる必要があります。 これらの要素は、「Something you know」、「Something you have」、「Something you are」という3つのカテゴリーに分類されます。 このため、暗証番号とパスワードの併用(どちらも「知っていること」のカテゴリー)は多要素認証とはみなされず、暗証番号と顔認証の併用(「自分自身であること」のカテゴリー)は多要素認証とみなされるのです。 なお、MFAの資格を得るためには、パスワードは必要ありません。 MFAソリューションは、完全にパスワードレスにすることができます。

また、2つ以上の認証方法を使用しても構いません。 しかし、ほとんどのユーザーはフリクションレス認証(認証を行わなくても認証されること)を望んでいます。

MFAではどのような認証要素を使用するのですか?

大きく分けて3つのカテゴリーがあります。

  • 知っていること(知識要素)
    一般的には、パスワード、PIN、パスフレーズ、または個人だけが知っている一連のセキュリティ質問とその対応する答えなどです。 MFAでナレッジファクターを使用するためには、エンドユーザーは、オンラインアプリケーションにあらかじめ保存されている詳細情報と一致する情報を正しく入力する必要があります。
  • あなたが持っているもの(possession factor)
    スマートフォンが登場する前、ユーザーはトークンやスマートカードを持ち歩き、ワンタイムパスワードやパスコード(OTP)を生成してオンラインアプリケーションに入力していました。 現在、ほとんどのユーザーは、OTPセキュリティキーを生成するために、スマートフォンに認証アプリをインストールしています。
  • Something you are (inherence factor)
    個人に関するバイオメトリクスデータは、指紋、網膜スキャン、顔認識、音声認識から、行動(画面上でのタイピングやスワイプの強さや速さなど)まで多岐にわたります。

多要素認証を実現するためには、少なくとも2つの異なる技術グループの少なくとも2つの異なる技術を認証プロセスに使用する必要があります。 その結果、PINとパスワードの併用は多要素認証とはみなされず、PINと顔認証を第二要素として使用する場合は多要素認証とみなされます。 また、2つ以上の認証方法を使用しても構いません。 しかし、ほとんどのユーザーは、フリクションレス認証(認証を行う必要がなく、認証を受けることができること)を求めるようになっています。

2ファクタ認証と多ファクタ認証の違いは何ですか?

二要素認証(2FA)とみなされるためには、ユーザーが自分の身元を確認するために、所持要素と知識要素など、2つの異なるカテゴリーから2つの認証要素を提示することが常に求められます。 多要素認証は、2要素認証よりも広い範囲をカバーしています。 認証プロセスにおいて2つ以上の要素を使用することが求められます。

多要素認証技術にはどのような種類がありますか?

以下は一般的なMFA技術です。

  • バイオメトリクス認証
    バイオメトリクス技術は、モバイルデバイスを介してユーザーを正確かつ安全に認証するための認証形態です。 最も一般的なバイオメトリクスのモダリティは、指紋スキャンと顔認識です。 バイオメトリクス認証には、行動バイオメトリクスも含まれます。行動バイオメトリクスとは、個人がコンピュータやモバイルデバイスに接する際の固有の方法(キーストローク、スワイプパターン、マウスの動きなど)に基づいて個人を継続的に認証することで、目に見えないセキュリティ層を提供するものです。
  • ハードウェアトークン
    ハードウェア認証装置は、所有者がネットワークサービスへのアクセスを承認するために携帯する、小型で使いやすい装置です。 ワンタイムパスコード(OTP)による強力な認証をサポートすることで、物理トークンは多要素認証の保有要素となり、1つのデバイスで複数のアプリケーションを保護する必要のある銀行やアプリケーションプロバイダーのセキュリティを強化することができます。
  • モバイル認証
    モバイル認証とは、AndroidやiOSのデバイスを介してユーザーを認証したり、デバイス自体を認証したりするプロセスのことです。 この技術により、ユーザーは安全な場所にログインし、セキュリティを強化しながらどこからでもリソースにアクセスできるようになります。
  • 域外認証
    このタイプの認証は、別の通信チャネルを介した二次的な検証方法を必要とします。一般的には、本人のインターネット接続と携帯電話が動作する無線ネットワークを使用します。 これらは帯域外技術の一例です。
    • Cronto®コード
      このカラーのQRのようなコードは、金融取引の認証や認可を行うことができます。 このカラーQRのようなコードは、個人がWebブラウザを通して見ることができます。 本人が登録したデバイスだけがコードを読み、復号することができます。 ユーザーがトランザクションを完了する前に確認できるトランザクションの詳細が含まれているので、非常に安全です。
    • プッシュ通知
      プッシュ通知は、ユーザーのモバイル端末に認証コードやワンタイムパスコードを配信するものです。 SMSメッセージとは異なり、端末のロック画面に通知が表示されます。
    • SMSテキストメッセージまたは音声メッセージ
      ワンタイムパスコードは、SMSテキストメッセージまたは音声メッセージを介してユーザーのモバイルデバイスに配信されます。
    • ソフトトークン
      ソフトウェア認証や「アプリベーストークン」は、1回限りのログイン用暗証番号を生成します。 多くの場合、これらのソフトウェアトークンは、ユーザーのデバイス(この場合はスマートフォン)が所有権を提供するMFAユースケースに使用されます。

なぜ組織に多要素認証が必要なのか?

アカウント乗っ取り詐欺(ATO)は、高度なソーシャルエンジニアリング(フィッシング攻撃)やモバイルマルウェアなどの攻撃によって急増しているサイバーセキュリティ上の脅威です。 適切に設計・実装されたMFA方式は、広く利用されているハッキングツールを使ってサイバー犯罪者が容易に侵害できる時代遅れのシングルファクターのユーザー名/パスワード認証よりも、高度な攻撃に対してより信頼性が高く、効果的です。

MFAの主なメリットは何ですか?

セキュリティ戦略の一環として、企業はMFAを利用して実現しています。

  • セキュリティの向上
    多要素認証は、固定パスワードや単一要素認証プロセスに比べてセキュリティを向上させます。

  • 法規制の遵守
    多要素認証は、組織が業界の規制を遵守するのに役立ちます。 例えば、PSD2の強力な認証要件であるSCA(Strong Customer Authentication)を満たすためには、MFAが必要です。

  • ユーザーエクスペリエンスの向上
    パスワードへの依存度をなくすことで、カスタマーエクスペリエンスの向上につながります。 摩擦の少ない認証課題に焦点を当てることで、企業はセキュリティを高め、ユーザーエクスペリエンスを向上させることができます。

クラウドコンピューティングはMFAにどのような影響を与えていますか?

銀行や金融機関などの金融機関では、社内でホスティングされたアプリケーションから、Office 365、Salesforce、Slack、OneSpan SignなどのクラウドベースのSaaS(Software-as-a-Service)アプリケーションへの移行が始まっています。 その結果、クラウドに保存されている機密データやファイルの量が増加し、アカウントの乗っ取りを引き起こす個人情報(PII)の漏洩のリスクが高まっています。 さらに、SaaSアプリケーションのユーザーは、企業ネットワーク内だけでなく、どこにでもいる可能性があるため、セキュリティリスクが高まります。 MFAが提供するセキュリティは、単なるパスワードによる保護とは異なり、より強固なものであるため、これらのリスクに対処することができます。 MFA の技術の中には、知識、所有、継承の要素に加えて、機器の MAC アドレスなどの位置情報の要素を用いて、特定の機器からしかリソースにアクセスできないようにするものがあります。  

クラウドが MFA に影響を与えるもう一つの方法は、MFA ソリューションをクラウドでホスティングすることです。クラウドは一般的に、オンプレミスのソリューションよりも導入コストが低く、管理も複雑でなく、柔軟性に富んでいます。 クラウドベースの製品では、モバイル認証アプリ、プッシュ通知、ジオロケーションなどのコンテキスト分析、バイオメトリクスなど、モバイルユーザーを対象としたより多くのオプションを提供することができます。

銀行が多要素認証を導入するには?

OneSpanの多要素認証ソリューションは、複数の認証要素を提供することで、アカウントやトランザクションを保護し、シンプルなサインインプロセスへの要求を満たすようにゼロから設計されています。 OneSpanは、使いやすく、拡張性があり、信頼性の高いソリューションを開発するために、多大な時間とリソースを費やし、カラーQRコードやBluetoothなどの簡単な認証オプションを使用して強力な認証を実現しています。 などがあります。

金融機関の消費者がMFAを使うべき理由とは?

消費者は、機密データにアクセスする際には必ずMFAを使用する必要があります。 例えば、ATMを使って銀行口座にアクセスする場合です。 アカウントの所有者は、知っているもの(PIN)と持っているもの(ATMカード)を組み合わせてMFAを使用します。 同様に、新しい場所やデバイスから Facebook、Google、Microsoft のアカウントにログインする際、消費者は、知っているもの(パスワード)と、持っているもの(プッシュまたは SMS 通知を受信したモバイルアプリ)の 2 つの要素を入力することで MFA を使用します。

多要素認証に関するFAQ

MFAが安全である理由は?

多要素認証は、サイバー犯罪者がアカウントへの侵入を成功させるのをはるかに困難にする認証の層を追加します。 標準的な認証情報(ユーザー名とパスワード)は、フィッシングやその他の広く利用可能なツールやリソースを使って、脅威となる人物が比較的容易に入手することができます。 また、パスワードを再利用する習慣があるため、ハッカーは一度の攻撃で複数のアカウントを侵害することができます。 MFA では、認証情報は、「知っているもの」(パスワード)、「持っているもの」(SMS コード、スマートカード、認証アプリ、ハードウェアトークン(キーフォブとも呼ばれる))、「自分自身」(バイオメトリクス)という 2 つ以上の異なるカテゴリから選択する必要があります。 窃盗犯は、スマートフォンや銀行カードなど、パスワード以外のものを盗む必要があるため、アカウントを侵害することは非常に困難です。 米国国立標準技術研究所(NIST)は、可能な限りMFAを使用することを推奨しています。特に、金融口座や健康記録などの最も重要なデータに関しては、MFAを使用することを推奨しています。

暗黙の属性」とは何か、それは要因として数えられるのか。

コンテキスト認証とも呼ばれる暗黙の属性は、ジオロケーション、IPアドレス、時間帯、OSや携帯電話のブラウザのバージョンなどのデバイスの識別子を使用して、ユーザーのアイデンティティが本物かどうかを判断するのに役立ちます。 暗黙の属性は、ユーザーの身元を確認したり、本人確認を行うものではないため、認証要素ではありませんが、サイバー攻撃に対する障壁を強化するのに役立ちます。

2ファクタ認証とMFAの違いは何ですか?

二要素認証(Two-factor authentication:2FA)は、MFA のサブセットであり、「知っているもの」、「持っているもの」、「自分自身」という 2 つのカテゴリーから 2 つの要素を使用して ID を確認するものです。 多要素認証には2つ以上の要素が含まれることもありますが、多くの多要素認証ソリューションでは2つの要素を使用しています。
論理的には、MFAは2要素認証よりも安全なのかという疑問があります。 一般的には、必要な要素が多いほど、アクセス管理の保護は強固になりますが、要素の種類も役割を果たします。 バイオメトリクスは、パスワードよりもはるかに盗みにくい。 さらに、ほとんどのエンドユーザは、よりシンプルな認証プロセスを望んでおり、要求される要素の数が負担になる場合には、回避策を見つけようとする可能性があります。 その結果、多くの銀行や金融機関、特に銀行のモバイルアプリを利用するモバイルユーザーにとって、認証ユーザーエクスペリエンスの近代化は今や主要な目標となっています。

MFAはどのようなサイバー攻撃を防ぐことができるのでしょうか?

MFAは、ユーザーに追加の情報や認証情報を要求することで、以下のタイプのサイバー攻撃を阻止します。

 

  • フィッシング攻撃:
    特にリモートワークが急増している現在、ネットワークの認証情報をだまし取るためにフィッシング攻撃が行われています。悪意のあるリンクや添付ファイル、Microsoft Office 365などのSaaSアプリケーションの偽装ログインページなどがよく使われます。 ユーザーIDとパスワードに加えてワンタイムパスコードなど、少なくとも2種類の認証を必要とする組織では、ID窃盗犯が企業ネットワークやVPNに侵入することが難しくなります。
  • SIMスワップ:
    このタイプの攻撃では、モバイルデバイスのユーザーになりすまします。 攻撃者は、ユーザーの携帯電話サービスプロバイダーを説得して、ユーザーのデータを新しいSIM(Subscriber Identity Module)カードに移すように仕向けます。 SIMスワップに成功すると、携帯電話番号の「所有権」が攻撃者に移り、攻撃者はデバイスに送信されたSMSコードを傍受することができます。 SIM スワップに対抗するために、MFA は、SMS コードを使用しない様々な強力な認証方法(バイオメトリクス、ソフトウェアトークン、セキュリティキー)を提供します。
  • モバイル・マルウェア:
    この種の悪意のあるソフトウェアは、個人情報へのアクセスを目的としてモバイル機器を標的にします。 例えば、バンキング・トロイの木馬やモバイル・ランサムウェアなどです。 残念なことに、ハッカーはモバイルデバイスのMFA保護、特にSMSで送信されるワンタイムパスワードを回避することにますます注力しています。 MFAのバイパス対策としては、SMSを使用せず、生体認証(指紋、顔、網膜のスキャン)やプッシュ通知などの強力な方法を選択することをお勧めします。

アダプティブ認証とは何ですか?

適応型認証は、リスクベース認証とも呼ばれ、取引のリスクレベルに応じて必要な認証要素を調整するMFAの一種です。 これは、アンチフラウドルールを使用して、認証の試みに対して事前に定義された反応を行うものです。 適切なタイプの認証は、既知のデータに基づいて、適切なタイプの知覚されたリスクに対して定義することができます。例えば、特定の場所(お客様の国以外)からの試みは、特定のタイプのMFAの組み合わせを引き起こすように定義することができます。
適応型認証は、現在のほとんどの認証システムが抱える「一律」の問題を解消します。同じ場所から毎日ログインしても、攻撃を受けた場所から新たにログインした場合と同じレベルの認証が必要になります。 この2つのログインは、異なる認証レベルで扱われるべきです。
インテリジェントな適応型認証では、さらに一歩進んで、不正防止ルールと機械学習アルゴリズムを用いて、ユーザーの役割や、場所、デバイス、IPアドレスなどの典型的なアクセスシナリオを熟知します。 ユーザーが認証を試みるたびに、インテリジェントな適応型認証システムがすべてのコンテキストデータを分析し、リスクの傾向を判断してスコアリングし、そのリスクレベルに応じて認証ワークフローを適応させます。
このアプローチの利点は、柔軟性です。 アダプティブ認証は、すべてのユーザーに同じ標準的なMFA要件を強制するのではなく、状況に応じて、リスクの低い日常的なアクセスの試みをよりシンプルかつ迅速に行い、リスクの高いアクセスの試みにはより高いセキュリティを追加します。

MFAのアウトオブバンドメカニズムとはどのようなもので、どのように機能するのでしょうか?

帯域外認証とは、別の通信チャネルを介して二次的な検証方法を必要とするMFAの一種です。 一般的には、ワンタイムパスコード(OTP)をユーザーの携帯電話に送信し、デスクトップやラップトップなどの別のデバイスでパスワード保護されたインターネット接続と組み合わせて適用するというものです。
攻撃者が同時に侵入しなければならない、接続されていない2つの独立したチャネルを介して認証を行うことで、侵害を成功させる可能性が非常に低くなります。 帯域外認証は、セキュリティ要件の厳しい銀行などの金融機関で多く採用されています。

ワンタイムパスワードをモバイル端末に配信する方法はいくつかあります。

  • QRコードや視覚的な暗号
  • プッシュ通知
  • SMS(SMSは、ハッカーがSIMスワップ方式でユーザーの携帯電話番号を盗み、SMSパスワードを取得することが非常に容易であるため、推奨されるセキュリティ対策ではなくなっています。


その他の方法としては、ユーザーに

  • 登録した端末から電話をかける(新規クレジットカードのアクティベーションによく使われます
  • 自動生成された銀行などからの電話に対応する
  • スマホアプリやプッシュ通知でOTPを受け取り、ATMでの取引やWebポータルへのアクセスを承認する。

モバイルユーザーのためのMFAを効率化するために、どのような技術が検討されていますか?

MFAソリューションでは、追加の認証手段が必要となるため、特に携帯電話ユーザーにとっては、アカウントやポータルへのアクセスプロセスに負担がかかります。 認証プロセスを効率化し、フリクションを低減するために、ユーザーのアクションを必要とせず、バックグラウンドで動作する新しいパッシブ技術が開発されました。 例えば、スマートフォンやタブレットを操作する際のタイピングやスワイプなどの固有のパターンに基づいて人を識別する行動バイオメトリクス認証があります。
FIDO(Fast Identity Online)アライアンスは、パスワードレス認証を用いてパスワードへの依存度を低減することを目的として設立されました。 FIDOのプロトコルは、バイオメトリクスを含む認証技術をサポートしています。 GoogleやMicrosoftなどのベンダーが実装しているFIDO 2プロトコルでは、FIDOに準拠したハードウェアトークンを使用して、ユーザー名とパスワードを入力することなくブラウザで認証を行うことができます。 同様に、多くの大手銀行は、エンドユーザーがユーザー名とパスワードを入力しなくても、FIDO対応のモバイルデバイスが銀行業務アプリケーションで認証できるようにプロトコルを実装している。

WebAuthn規格とはどのようなもので、オンラインバンキングのセキュリティ強化にどのように役立つのでしょうか?

WebAuthnは、FIDOスタイルの認証技術をWebアプリケーションに導入しようとするものです。Webアプリケーションの開発者が、サードパーティの認証ライブラリやシステムを使用せずに、安全な多要素認証を実装するための標準的な方法を提供します。WebAuthnは、バイオメトリクスの安全性と強力な認証を、これまで重いバックエンドや追加のエンジニアリングを必要としたウェブアプリケーションにもたらします。 WebAuthnプロトコルは、新しいシングル・ページ・アプリケーション(SPA)やプログレッシブ・ウェブ・アプリケーション(PWA)の開発者が、従来のウェブページでは容易にアクセスできなかった内蔵のローカル・デバイス・テクノロジーを活用して強力な認証を実装する方法を提供するために設計されています。

お問い合わせはこちら

お客様のデジタル・セキュリティ・ニーズに対する当社のソリューションの詳細については、当社のセキュリティ専門家にお問い合わせください。