多要素認証はどのように機能するのですか?
多要素認証(MFA)は、複数の技術を用いてユーザーのアイデンティティを認証します。 これに対し、一要素認証(または単に「認証」)では、単一の技術を用いてユーザーの真正性を証明します。 MFAでは、ユーザーは少なくとも2つの異なるグループまたは認証要素の検証技術を組み合わせる必要があります。 これらの要素は、「Something you know」、「Something you have」、「Something you are」という3つのカテゴリーに分類されます。 このため、暗証番号とパスワードの併用(どちらも「知っていること」のカテゴリー)は多要素認証とはみなされず、暗証番号と顔認証の併用(「自分自身であること」のカテゴリー)は多要素認証とみなされるのです。 なお、MFAの資格を得るためには、パスワードは必要ありません。 MFAソリューションは、完全にパスワードレスにすることができます。
また、2つ以上の認証方法を使用しても構いません。 しかし、ほとんどのユーザーはフリクションレス認証(認証を行わなくても認証されること)を望んでいます。
MFAではどのような認証要素を使用するのですか?
大きく分けて3つのカテゴリーがあります。
- 知っていること(知識要素)
一般的には、パスワード、PIN、パスフレーズ、または個人だけが知っている一連のセキュリティ質問とその対応する答えなどです。 MFAでナレッジファクターを使用するためには、エンドユーザーは、オンラインアプリケーションにあらかじめ保存されている詳細情報と一致する情報を正しく入力する必要があります。 - あなたが持っているもの(possession factor)
スマートフォンが登場する前、ユーザーはトークンやスマートカードを持ち歩き、ワンタイムパスワードやパスコード(OTP)を生成してオンラインアプリケーションに入力していました。 現在、ほとんどのユーザーは、OTPセキュリティキーを生成するために、スマートフォンに認証アプリをインストールしています。 - Something you are (inherence factor)
個人に関するバイオメトリクスデータは、指紋、網膜スキャン、顔認識、音声認識から、行動(画面上でのタイピングやスワイプの強さや速さなど)まで多岐にわたります。
多要素認証を実現するためには、少なくとも2つの異なる技術グループの少なくとも2つの異なる技術を認証プロセスに使用する必要があります。 その結果、PINとパスワードの併用は多要素認証とはみなされず、PINと顔認証を第二要素として使用する場合は多要素認証とみなされます。 また、2つ以上の認証方法を使用しても構いません。 しかし、ほとんどのユーザーは、フリクションレス認証(認証を行う必要がなく、認証を受けることができること)を求めるようになっています。
2ファクタ認証と多ファクタ認証の違いは何ですか?
二要素認証(2FA)とみなされるためには、ユーザーが自分の身元を確認するために、所持要素と知識要素など、2つの異なるカテゴリーから2つの認証要素を提示することが常に求められます。 多要素認証は、2要素認証よりも広い範囲をカバーしています。 認証プロセスにおいて2つ以上の要素を使用することが求められます。
多要素認証技術にはどのような種類がありますか?
以下は一般的なMFA技術です。
- バイオメトリクス認証
バイオメトリクス技術は、モバイルデバイスを介してユーザーを正確かつ安全に認証するための認証形態です。 最も一般的なバイオメトリクスのモダリティは、指紋スキャンと顔認識です。 バイオメトリクス認証には、行動バイオメトリクスも含まれます。行動バイオメトリクスとは、個人がコンピュータやモバイルデバイスに接する際の固有の方法(キーストローク、スワイプパターン、マウスの動きなど)に基づいて個人を継続的に認証することで、目に見えないセキュリティ層を提供するものです。 - ハードウェアトークン
ハードウェア認証装置は、所有者がネットワークサービスへのアクセスを承認するために携帯する、小型で使いやすい装置です。 ワンタイムパスコード(OTP)による強力な認証をサポートすることで、物理トークンは多要素認証の保有要素となり、1つのデバイスで複数のアプリケーションを保護する必要のある銀行やアプリケーションプロバイダーのセキュリティを強化することができます。 - モバイル認証
モバイル認証とは、AndroidやiOSのデバイスを介してユーザーを認証したり、デバイス自体を認証したりするプロセスのことです。 この技術により、ユーザーは安全な場所にログインし、セキュリティを強化しながらどこからでもリソースにアクセスできるようになります。 - 帯域外認証
このタイプの認証は、別の通信チャネルを介した二次的な検証方法を必要とします。一般的には、本人のインターネット接続と携帯電話が動作する無線ネットワークを使用します。 これらは帯域外技術の一例です。- Cronto®コード
このカラーのQRのようなコードは、金融取引の認証や認可を行うことができます。 このカラーQRのようなコードは、個人がWebブラウザを通して見ることができます。 本人が登録したデバイスだけがコードを読み、復号することができます。 ユーザーがトランザクションを完了する前に確認できるトランザクションの詳細が含まれているので、非常に安全です。 - プッシュ通知
プッシュ通知は、ユーザーのモバイル端末に認証コードやワンタイムパスコードを配信するものです。 SMSメッセージとは異なり、端末のロック画面に通知が表示されます。 - SMSテキストメッセージまたは音声メッセージ
ワンタイムパスコードは、SMSテキストメッセージまたは音声メッセージを介してユーザーのモバイルデバイスに配信されます。 - ソフトトークン
ソフトウェア認証や「アプリベーストークン」は、1回限りのログイン用暗証番号を生成します。 多くの場合、これらのソフトウェアトークンは、ユーザーのデバイス(この場合はスマートフォン)が所有権を提供するMFAユースケースに使用されます。
- Cronto®コード
なぜ組織に多要素認証が必要なのか?
アカウント乗っ取り詐欺(ATO)は、高度なソーシャルエンジニアリング(フィッシング攻撃)やモバイルマルウェアなどの攻撃によって急増しているサイバーセキュリティ上の脅威です。 適切に設計・実装されたMFA方式は、広く利用されているハッキングツールを使ってサイバー犯罪者が容易に侵害できる時代遅れのシングルファクターのユーザー名/パスワード認証よりも、高度な攻撃に対してより信頼性が高く、効果的です。
MFAの主なメリットは何ですか?
セキュリティ戦略の一環として、企業はMFAを利用して実現しています。
-
セキュリティの向上
多要素認証は、固定パスワードや単一要素認証プロセスに比べてセキュリティを向上させます。 -
法規制の遵守
多要素認証は、組織が業界の規制を遵守するのに役立ちます。 例えば、PSD2の強力な認証要件であるSCA(Strong Customer Authentication)を満たすためには、MFAが必要です。 -
ユーザーエクスペリエンスの向上
パスワードへの依存度をなくすことで、カスタマーエクスペリエンスの向上につながります。 摩擦の少ない認証課題に焦点を当てることで、企業はセキュリティを高め、ユーザーエクスペリエンスを向上させることができます。
クラウドコンピューティングはMFAにどのような影響を与えていますか?
銀行や金融機関などの金融機関では、社内でホスティングされたアプリケーションから、Office 365、Salesforce、Slack、OneSpan SignなどのクラウドベースのSaaS(Software-as-a-Service)アプリケーションへの移行が始まっています。 その結果、クラウドに保存されている機密データやファイルの量が増加し、アカウントの乗っ取りを引き起こす個人情報(PII)の漏洩のリスクが高まっています。 さらに、SaaSアプリケーションのユーザーは、企業ネットワーク内だけでなく、どこにでもいる可能性があるため、セキュリティリスクが高まります。 MFAが提供するセキュリティは、単なるパスワードによる保護とは異なり、より強固なものであるため、これらのリスクに対処することができます。 MFA の技術の中には、知識、所有、継承の要素に加えて、機器の MAC アドレスなどの位置情報の要素を用いて、特定の機器からしかリソースにアクセスできないようにするものがあります。
クラウドが MFA に影響を与えるもう一つの方法は、MFA ソリューションをクラウドでホスティングすることです。クラウドは一般的に、オンプレミスのソリューションよりも導入コストが低く、管理も複雑でなく、柔軟性に富んでいます。 クラウドベースの製品では、モバイル認証アプリ、プッシュ通知、ジオロケーションなどのコンテキスト分析、バイオメトリクスなど、モバイルユーザーを対象としたより多くのオプションを提供することができます。
銀行が多要素認証を導入するには?
OneSpanの多要素認証ソリューションは、複数の認証要素を提供することで、アカウントやトランザクションを保護し、シンプルなサインインプロセスへの要求を満たすようにゼロから設計されています。 OneSpanは、使いやすく、拡張性があり、信頼性の高いソリューションを開発するために、多大な時間とリソースを費やし、カラーQRコードやBluetoothなどの簡単な認証オプションを使用して強力な認証を実現しています。 などがあります。
金融機関の消費者がMFAを使うべき理由とは?
消費者は、機密データにアクセスする際には必ずMFAを使用する必要があります。 例えば、ATMを使って銀行口座にアクセスする場合です。 アカウントの所有者は、知っているもの(PIN)と持っているもの(ATMカード)を組み合わせてMFAを使用します。 同様に、新しい場所やデバイスから Facebook、Google、Microsoft のアカウントにログインする際、消費者は、知っているもの(パスワード)と、持っているもの(プッシュまたは SMS 通知を受信したモバイルアプリ)の 2 つの要素を入力することで MFA を使用します。