Free trial

多要素認証(MFA)とは何ですか?

多要素認証(MFA)は、Web サイト、モバイル・アプリケーション、またはその他のオンライン・リソースにアクセスする前に、少なくとも 2 つの異なる認証要素を使用してユーザーの身元を証明することを要求するアクセス管理コンポーネントです。MFA を使用すると、1 つの要素が侵害された場合でも、攻撃者は対象のアカウントにアクセスできるようになる前に、少なくとももう 1 つの障壁を突破する必要があります。

多要素認証はどのように機能しますか?

多要素認証(MFA)は、複数の技術を使用してユーザーの身元を認証します。対照的に、単一要素認証(または単に「認証」)は、1 つの技術を使用してユーザーの真正性を証明します。MFA では、ユーザは少なくとも 2 つの異なるグループまたは認証要素から検証テクノロジを 組み合わせる必要があります。これらの要素は、「知っているもの」、「持っているもの」、「自分であるもの」の 3 つに分類されます。このため、暗証番号とパスワード(どちらも「あなたが知っているもの」のカテゴリ)の使用は多要素認証とは見なされませんが、暗証番号と顔認識(「あなたが持っているもの」のカテゴリ)の使用は多要素認証と見なされます。パスワードはMFAの要件を満たすために必要ではないことに注意してください。MFAソリューションは、完全にパスワードレスであることも可能です。

また、2つ以上の認証方法を使ってもかまいません。しかし、ほとんどのユーザはフリクションレス認証(認証を行うことなく認証される機能)を望んでいます。

MFAではどのような認証要素が使用されますか?

以下は3つの主なカテゴリーです:

  • 知っていること(知識要素)
    これは通常、パスワード、PIN、またはパスフレーズ、あるいは本人だけが知っている一連のセキュリ ティ質問とそれに対応する回答です。MFA のために知識要素を使用するには、エンドユーザは、オンラインアプリケーションに以前に保存された詳細と一致する情報を正しく入力しなければなりません。
  • 持っているもの(所有要因)
    スマートフォンが登場する以前は、ユーザはトークンやスマートカードを携帯し、ワンタイムパスワードやパスコード(OTP)を生成してオンラインアプリケーションに入力していました。現在では、ほとんどのユーザーがスマートフォンに認証アプリをインストールし、OTPセキュリティキーを生成しています。
  • あなた自身(インヒアレンス要素)
    個人に関するバイオメトリクス・データは、指紋、網膜スキャン、顔認識、音声認識から行動(画面をタイプしたりスワイプしたりする強さや速さなど)まで多岐にわたります。

多要素認証を実現するには、少なくとも2つの異なる技術グループの異なる技術を認証プロセスに使用する必要があります。その結果、暗証番号とパスワードの併用は多要素認証とはみなされませんが、暗証番号と顔認証を第 2 要素として使用することは多要素認証とみなされます。また、2つ以上の認証形式を使用することも認められます。しかし、ほとんどのユーザーは、摩擦のない認証(認証を実行する必要なく認証される機能)を望むようになってきています。

二要素認証と多要素認証の違いは何ですか?

二要素認証(2FA)とみなされるには、あるソリューションでは、本人確認のために、所持要素と知識要素のような2つの異なるカテゴリーから2つの認証要素を提示する必要があります。多要素認証は、2 要素認証よりも広範です。組織は、認証プロセスで 2 つ以上の要素を使用する必要があります。

多要素認証技術にはどのような種類がありますか?

以下は一般的な MFA 技術です:

  • バイオメトリクス認証
    バイオメトリクス技術は、モバイル・デバイスを通じてユーザーを正確かつ安全に認証する認証の一形態です。最も一般的なバイオメトリクス・モダリティは、指紋スキャンと顔認証です。バイオメトリクス認証には、行動バイオメトリクスも含まれます。行動バイオメトリクスは、キーストロー ク、スワイプパターン、マウスの動きなど、コンピュータやモバイルデバイスとのユニークな接 触方法に基づいて個人を継続的に認証することで、目に見えないセキュリティ層を提供します。
  • ハードウェアトークン
    ハードウェア認証は、ネットワーク・サービスへのアクセスを承認するために所有者が携帯する小型で使いやすいデバイスです。ワンタイムパスコード(OTP)による強力な認証をサポートすることで、物理トークンは多要素認証のための所有要素を提供すると同時に、1つのデバイスで複数のアプリケーションを保護する必要がある銀行やアプリケーションプロバイダのセキュリティを強化します。
  • モバイル認証
    モバイル認証は、AndroidまたはiOSデバイスを介してユーザーを認証するプロセス、またはデバイス自体を認証するプロセスです。この技術により、ユーザーはセキュリティが強化された場所にログインし、どこからでもリソースにアクセスすることができます。
  • 帯域外認証
    この認証タイプでは、別個の通信チャネルを介した二次的な認証方法が必要です。一般的には、ユーザーのインターネット接続と携帯電話が動作する無線ネットワークです。これらは帯域外技術の一例です:
    • Cronto®コード
      このカラーQRコードは、金融取引を認証または承認することができます。個人はウェブブラウザを通じて表示されたこのカラーQRコードを見ます。このコードを読み取り、復号化できるのは、その人の登録デバイスだけです。このコードには取引の詳細が含まれており、ユーザーは取引を完了する前に確認することができるため、非常に安全です。
    • プッシュ通知
      プッシュ通知は、認証コードまたはワンタイムパスコードをユーザーのモバイルデバイスに配信します。SMSメッセージとは異なり、通知はデバイスのロック画面に表示されます。
    • SMSテキストメッセージまたは音声メッセージ
      ワンタイムパスコードは、SMSテキストメッセージまたは音声メッセージでユーザーのモバイルデバイスに配信されます。
    • ソフトトークン
      ソフトウェア認証または「アプリベーストークン」は、ワンタイムログイン PIN を生成します。多くの場合、これらのソフトウェア・トークンは、ユーザーのデバイス(この場合はスマートフォン)が所有要素を提供するMFAのユースケースに使用されます。

組織が多要素認証を必要とする理由

アカウント乗っ取り詐欺(ATO)は、洗練されたソーシャル・エンジニアリング(フィッシング攻撃など)、モバイル・マルウェア、その他の攻撃によって煽られ、急増するサイバーセキュリティの脅威です。適切に設計され、実装されたMFA方式は、広く入手可能なハッキング・ツールを介してサイバー犯罪者に簡単に侵害される可能性のある、時代遅れの1ファクタ・ユーザー名/パスワード認証よりも、高度な攻撃に対してより信頼性が高く、効果的です。

MFAの主な利点は何ですか?

セキュリティ戦略の一環として、組織はMFAを使用して以下を実現します:

  • セキュリティの向上
    多要素認証は、静的パスワードや単一要素認証プロセスよりもセキュリティが向上します。
  • 規制コンプライアンス
    多要素認証は、組織が各業界の規制に準拠するのに役立ちます。例えば、MFAはPSD2の強度の高い顧客認証(SCA)の要件を満たすために必要です。
  • ユーザーエクスペリエンスの向上
    パスワードへの依存を解消することで、顧客体験を向上させることができます。摩擦の少ない認証課題に注力することで、組織はセキュリティを高め、ユーザー体験を向上させることができます。

クラウド・コンピューティングはMFAにどのような影響を与えていますか?

銀行、金融機関、その他の金融サービス組織は、社内でホストするアプリケーションから、Office 365、Salesforce、Slack、OneSpan SignなどのクラウドベースのSaaS(Software-as-a-Service)アプリケーションに移行し始めています。その結果、クラウドでホストされる機密データやファイルの量が増加し、アカウント乗っ取りを引き起こす個人情報(PII)の漏洩のリスクが高まっています。さらに、SaaSアプリのユーザーは、企業ネットワーク内だけでなく、どこにでもいる可能性があることも、セキュリティリスクを高めています。単純なパスワード保護と比較して、MFAによって提供される追加のセキュリティ層は、これらのリスクに対抗するのに役立ちます。MFAテクノロジの中には、知識、所有、内在の各要因に加え、デバイスのメディア・アクセス・コントロール(MAC)アドレスなどの位置情報を使用して、特定のデバイスからのみリソースにアクセスできるようにするものもあります。

クラウドがMFAに影響を与えるもう1つの方法は、MFAソリューションのクラウド・ホスティングです。クラウドベースの製品は、モバイル認証アプリ、プッシュ通知、ジオロケーションのようなコンテキスト分析、バイオメトリクスなど、モバイルユーザーをターゲットにしたより多くのオプションを提供する可能性があります。

銀行はどのように多要素認証を始められますか?

OneSpanの多要素認証ソリューションは、シンプルなサインイン・プロセスへの要求を満たしながら、複数の認証要素を提供することで、口座やトランザクションを保護するために一から設計されています。OneSpanは、カラーQRコードやBluetoothなど、様々な簡単な認証オプションを使用して強力な認証を提供する、使いやすく、スケーラブルで信頼性の高いソリューションを構築するために、多大な時間とリソースを投資してきました。これらには以下が含まれます:

なぜ金融サービスの消費者はMFAを使用する必要があるのでしょうか?

消費者は、機密データにアクセスするときは常にMFAを使用する必要があります。良い例は、銀行口座にアクセスするためにATMを使用することです。口座の所有者は、知っているもの(暗証番号)と持っているもの(ATMカード)を組み合わせてMFAを使用します。同様に、新しい場所やデバイスからフェイスブック、グーグル、マイクロソフトのアカウントにログインするとき、消費者は知っている何か(パスワード)と、持っている何か(プッシュまたはSMS通知を受信したモバイルアプリ)を入力することで、MFAを使用します。

多要素認証FAQ

MFAはなぜ安全なのでしょうか?

多要素認証は、サイバー犯罪者がアカウントのハッキングを成功させることをより困難にする認証のレイヤーを追加します。標準的な認証情報(ユーザー名とパスワード)は、フィッシングやその他の広く利用可能なツールやリソースを使用して、脅威行為者が比較的容易に入手することができます。また、パスワードを再利用するのが一般的であるため、ハッカーは1回の攻撃で複数のアカウントを侵害することが可能です。MFAでは、認証情報は2つ以上の異なるカテゴリから取得する必要があります。すなわち、あなたが知っているもの(パスワード)、あなたが持っているもの(SMSコード、スマートカード、認証アプリ、またはキーフォブとしても知られるハードウェアトークン)、そしてあなたが持っているもの(バイオメトリクス)です。窃盗犯は、スマートフォンや銀行カードなど、パスワード以外のアイテムを盗む必要があるため、あなたのアカウントを侵害することが非常に難しくなります。米国国立標準技術研究所(NIST)は、特に金融口座や健康記録のような最も機密性の高いデータに関しては、可能な限りMFAを使用することを推奨しています。

暗黙の属性」とは何ですか?

コンテキスト認証とも呼ばれる暗黙属性は、ジオロケーション、IP アドレス、時間帯、およびオペ レーティングシステムや携帯電話のブラウザのバージョンなどのデバイス識別子を使用して、 ユーザの身元が真正かどうかを判断するのに役立ちます。暗黙的属性は、ユーザの身元を確認したり、身元検証を提供したりしないため、認証 要素ではありませんが、サイバー攻撃に対する障壁を強化するのに役立ちます。

二要素認証とMFAの違いは何ですか?

二要素認証(2FA)は、MFA のサブセットであり、2 つのカテゴリ(「知っているもの」、「持 っているもの」、「自分であるもの」)から 2 つの要素を使用して ID を確認します。多要素認証には 2 つ以上の要素を使用することもできますが、多くの多要素認証ソリューショ ンは 2 つの要素を使用します。
論理的な疑問は、MFA が第 2 因子認証よりも安全かどうかということです。一般に、必要な要素が多いほどアクセス管理の保護は強化されますが、要素の種類も重要な役割を果たします。バイオメトリクスはパスワードよりもはるかに盗みにくいです。さらに、ほとんどのエンドユーザは、よりシンプルな認証プロセスを望んでおり、必要な因子の数が負担になれば、回避策を見つけようとするかもしれません。その結果、多くの銀行や金融機関、特に銀行のモバイルアプリを使用するモバイルユーザにとって、認証ユーザエクスペリエンスを近代化することは、今や主要な目標となっています。

MFAはどのようなサイバー攻撃の防止に役立ちますか?

MFA は、ユーザーから追加の情報や認証情報を要求することで、以下のタイプのサイバー攻撃を阻止するのに役立ちます。

  • フィッシング攻撃
    特に、リモートワークが大幅に増加している現在、フィッシング攻撃は、多くの場合、悪意のあるリンクや添付ファイル、またはMicrosoft Office 365のようなSaaSアプリの偽のログインページを使用して、労働者を騙してネットワーク認証情報を提供するために使用されています。組織が、ユーザーIDとパスワードに加えてワンタイムパスコードなど、少なくとも2種類の認証を要求する場合、ID窃盗犯は企業ネットワークやVPNに侵入しにくくなります。
  • SIMスワップ:
    このタイプの攻撃は、モバイル・デバイスのユーザーになりすますものです。攻撃者は、元のカードやデバイスが紛失または破損したため、新しいSIM(加入者IDモジュール)カードにデータを移行するよう、ユーザーの携帯電話サービスプロバイダを説得しようとします。SIMスワップが成功すると、携帯電話番号の「所有権」が攻撃者に移り、攻撃者はデバイスに送信されるSMSコードを傍受することができます。SIM スワップに対抗するため、MFA は SMS コードの使用を回避するさまざまな強力な認証方法(バイオメトリクス、ソフトウェア・トークン、セキュリティ・キー)を提供しています。
  • モバイルマルウェア
    この種の悪意のあるソフトウェアは、モバイル・デバイスを標的として個人データにアクセスします。例えば、バンキング型トロイの木馬やモバイル型ランサムウェアなどがあります。残念ながら、ハッカーはモバイルデバイスのMFA保護、特にSMSを使用して送信されるワンタイムパスワードをバイパスすることにますます注力しています。MFA バイパス対策としては、SMS を避け、生体認証(指紋、顔、網膜スキャン)やプッシュ通知など、より強力な方法を選択することをお勧めします。

適応型認証とは何ですか?

適応型認証は、リスクベース認証とも呼ばれ、トランザクションのリスクレベルに基づいて必 要な認証要素を調整する MFA の一種です。不正防止ルールを使用して、認証の試みに対して事前に定義された反応を生成します。認証の適切なタイプは、データの既知のポイントに基づいて、認識されたリスクの適切なタイプに定義することができます。 例えば、特定の場所(例えば、顧客の国以外)からの試行は、特定のタイプの MFA の組み合わせをトリガするように定義されるかもしれません。
アダプティブ認証は、今日のほとんどの認証システムを悩ませている「1つのサイズですべてを満たす」問題を排除します。同じ場所からの毎日のログインは、激しく攻撃された場所からのまったく新しいログインと同じレベルの認証を必要とします。この2つのログインは異なる認証レベルで扱われるべきです。
インテリジェント・アダプティブ認証は、不正防止ルールと機械学習アルゴリズムを併用することで、ユーザーの役割や、場所、デバイス、IPアドレスなどの典型的なアクセスシナリオを熟知し、これをさらに一歩進めます。インテリジェントな適応型認証システムは、ユーザが認証を試みるたびに、すべてのコンテキストデータを分析し、リスクの傾向を判断するためにスコアを付け、認証ワークフローをそのリスクレベルに適応させます。
このアプローチの利点の一つは柔軟性です。適応型認証は、すべてのユーザーに同じ標準的な MFA 要件を強制する代わりに、日常的でリスクの低いアクセス試行をよりシンプルかつ迅速にし、リスクの高いアクセス試行にはより高いセキュリティを追加することで、状況に合わせて調整します。

MFAにおける帯域外メカニズムとは何ですか?

帯域外認証は、MFA の一種で、別の通信チャネルを介した二次的な検証方法を必要とします。一般的には、ワンタイムパスコード(OTP)をユーザーの携帯電話に送信し、デスクトップやラップトップなどの別のデバイスでパスワードで保護されたインターネット接続と同時に適用します。
攻撃者が同時に侵入しなければならない、2 つの独立した、接続されていないチャネルを介した認証は、侵害の成功の可能性をはるかに低くします。アウトオブバンド認証は、厳格なセキュリティ要件を持つ銀行やその他の金融機関でよく使用されています。

ワンタイムパスワードをモバイルデバイスに配信する方法はいくつかあります:

  • QRコードまたは視覚的暗号
  • プッシュ通知
  • SMS(ハッカーがSMSパスワードを取得するためにSIMスワップ法を使用してユーザーの携帯電話番号を盗むことは非常に簡単であるため、SMSはもはや推奨されるセキュリティ対策ではないことに注意してください)。


その他の方法としては、ユーザーに以下を要求する方法があります:

  • 登録したデバイスから電話をかける(新しいクレジットカードのアクティベーションによく使われます)
  • 銀行やその他の機関から自動発信される電話への応答
  • ATM取引の承認やウェブポータルへのアクセスのために、電話アプリやプッシュ通知でOTPを受信すること。

モバイル・ユーザーのMFAを効率化するために、どのような技術が検討されていますか?

MFA ソリューションは追加の認証手段を強制するため、アカウントやポータルにアク セスするプロセスが、特に携帯電話ユーザーにとって負担になる可能性があります。このような負担の増加は、人の動きを鈍らせたり、タスクの達成を困難にしたりするもので、 「摩擦」と呼ばれます。認証プロセスを合理化し、摩擦を減らすために、新しい "パッシブ "技術は、 ユーザのアクションを必要とせずにバックグラウンドで動作します。その一例が行動バイオメトリクス認証で、スマートフォンやタブレットを操作する際の入力やスワイプのユニークなパターンに基づいて人を識別します。
Fast Identity Online(FIDO)アライアンスは、パスワードレス認証の使用を通じて、パスワードへの依存を軽減するために設立されました。FIDOプロトコルは、生体認証を含む認証技術をサポートしています。Google、Microsoft、およびその他のベンダーが実装しているFIDO 2プロトコルは、FIDO準拠のハードウェアトークンを使用して、ユーザ名とパスワードを入力することなくブラウザで認証できるようにします。同様に、多くの大手銀行は、エンドユーザーがユーザー名とパスワードを入力することなく、FIDO対応のモバイルデバイスがバンキングアプリケーションで認証できるようにするためにプロトコルを実装しています。

WebAuthn規格とはどのようなもので、オンライン・バンキングのセキュリティ強化にどのように役立つのですか?

WebAuthnは、FIDOスタイルの認証技術をWebアプリケーションに導入しようとするものです。 WebAuthnは、Webアプリケーション開発者がサードパーティの認証ライブラリやシステムを使用することなく、安全な多要素認証を実装するための標準的な方法を提供します。 WebAuthnは生体認証の安全性と強力な認証をウェブアプリケーションにもたらします。WebAuthnプロトコルは、新しいシングルページアプリケーション(SPA)やプログレッシブWebアプリケーション(PWA)の開発者に、これまでWebページが簡単にアクセスできなかった組み込みのローカルデバイス技術を活用して強力な認証を実装する方法を提供するように設計されています。

お問い合わせ

デジタルセキュリティのニーズに対する当社のソリューションの詳細については、当社のセキュリティ専門家にお問い合わせください。

お問い合わせ