多要素認証でセキュリティ強度を高め不正アクセス防止

ホーム > ブログ > ログイン時の多要素認証で不正アクセス防止

ログイン時のMFA必須化で不正アクセス防止

多要素認証(Multi-Factor Authentication:MFA)は、Webサービスなどにログインする際に、2種類以上の要素を用いて認証する方法のことを指します。これまではログインをするときにはIDとパスワードを入力する認証方法が一般的でしたが、フィッシング詐欺などの不正アクセスが急増していることに対応し、ログイン時の多要素認証を導入することによって、セキュリティ強度を高めることが求められています。

多要素認証が求められる背景はサイバー攻撃や不正アクセスの増加

多要素認証が求められている背景には、サイバー攻撃や不正アクセスの増加があります。日本クレジット協会によると、2024年のクレジットカードの不正利用額は555億円と過去最高になりましたが、その多くがフィッシングなどによって、クレジットカード情報が盗まれたことが原因でした。

また、証券業界では個人の証券口座が不正にログインされ、乗っ取られてしまう被害が確認されました。日本証券業協会は、インターネット取引のログイン時に「多要素認証」の設定を必須化する証券会社を発表しています。このように、不正アクセスは増加しているだけではなく、被害が悪質になっており、サイバー攻撃や不正アクセスに対応できる多要素認証の重要度が増しています。

また、クラウドサービスの普及も多要素認証の必要性を高めています。クラウドサービスを利用すれば社外からでも社内の機密情報にアクセスすることが可能となり、リモートワークなどを行う際には便利です。しかし、社内の機密情報に不正アクセスされるリスクも高まるため、セキュリティ対策を強化する必要があり、高いセキュリティ強度を誇る多要素認証が求められています。

「知識情報」「所持情報」「生体情報」を2つ以上組み合わせる多要素認証

認証の3要素とは、「知識情報」「所持情報」「生体情報」です。「知識情報」は「自分だけが知っている情報」を指し、自分で設定した暗証番号やパスワード、ペットの名前などの秘密の質問に対する答えなどがこれに含まれます。「所持情報」は「自分だけが持っているモノ」を指し、ICカードやスマートフォン、トークンなどがこれに含まれます。「生体情報」は指紋や顔、静脈など「本人の生物的な特徴」です。

多要素認証と似た言葉に「二段階認証」があります。二段階認証は「認証を2回行う」方法です。例えば、あらかじめ自分で設定しておいた秘密の質問に対しての答えを入力する方法などがあります。IDとパスワードを利用した認証と比較して手順は煩雑になりますが、その分セキュリティ強度は高くなります。

これに対し「二要素認証」は2つの要素を使う認証方式です。例えば、銀行のATMでキャッシュカード(所持情報)を入れて、続いて暗証番号(知識情報)を入力する方法などがあります。また、スマートフォンのロック解除は、スマートフォンは「所持情報」で、ロック解除時に使用する指紋認証、顔認証は「生体情報」にあたります。多要素認証は3要素のうち2つ以上の要素を使うことを指しており、「二要素認証」もそのひとつです。

認証の要素を組み合わせることでセキュリティの強度が高まる

サイバー犯罪の手口の巧妙化・高度化に対応するため、各界の有識者から構成される「キャッシュレス社会の安全・安心の確保に関する検討会」が、官民連携してログイン時の多要素認証の導入をはじめとするサイバー犯罪防止対策について普及や啓発を展開しています。

様々なセキュリティ強化対策のうち、多要素認証はすでに採用が広まっており、すぐにでも取り組みやすい方法です。多要素認証採用のメリットはセキュリティ強度を高められることです。フィッシング攻撃で、知識情報であるログインID・パスワードなどを窃取されたとしても、「所持情報」や「生体情報」といった別の認証によって、不正アクセスの多くをブロックできる可能性があります。

認証の3要素のうち、「知識情報」は、他人に知られてしまった場合にはセキュリティ強度が低下します。「所持情報」も紛失や盗難に遭うと当然セキュリティが低下します。「生体情報」は、生体情報をコピーされ不正アクセスされるリスクがあります。3要素のうち2要素以上を活用することで、サイバー攻撃側の手間が増え、セキュリティの強度は高まります。

パスワード管理の手間を軽減し、業務効率化を実現

パスワード管理の手間を減らせることも多要素認証のメリットです。パスワードはセキュリティ強度を保つため定期的に変更することを求められます。また、多くのサービスを利用するために、パスワードは使いまわしせず、違うパスワードを設定することが求められます。そのため、それぞれのパスワードを覚えることは非常にハードルが高い作業になりがちです。ログインに失敗して仕事の効率を落とすことにもつながりかねません。


弊社はお客さまのご要望に合わせて製品を提案しております。

◎管理者負担を軽減するなら
QRコードOTPトークン「c610」

ユーザー自身で画面に表示されたQRコードを読み取るだけで登録完了。
操作はMicrosoftやGoogleなど他のAuthenticatorアプリと同じです。

◎セキュリティ重視なら
BioPass FIDOセキュリティキー

指紋認証に対応したFIDOセキュリティキーを利用することで
ID/パスワードを入力することなく高セキュリティ。
操作も指紋センサーにタッチするだけです。



関連記事

「口座乗っ取り」対策で証券会社が多要素認証を必須化

Microsoft 365の多要素認証(MFA)必須化にハードウェアトークン

教職員の多要素認証(MFA)について

ChatGPTに多要素認証(MFA)を導入

多要素認証(MFA)にはクラウドで

Microsoft Office 365の多要素認証(MFA)について

Authenticatorアプリの代替機を使った多要素認証(MFA)

Salesforceの多要素認証(MFA)の設定方法

Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

Amazon Web Services(AWS)MFAを必須化