多要素認証（MFA）に適したデバイスとは？

パスワードだけに頼った認証による不正アクセスのリスクが指摘される中、セキュリティ強化の一環として、多くのインターネット関連サービスは多要素認証（MFA：Multi-Factor Authentication）を実装し始めています。MFAは「知識情報」、「所持情報」、「生体情報」の3要素のうち、2つ以上の要素を組み合わせて認証することを指します。弊社には、ハードウェアをMFAデバイスとして利用するお問合せが増えており、MFAデバイスのタイプとしては、普段使っているスマートフォンを活用するケースのほか、物理的なセキュリティキーやワンタイムパスワードを表示するハードウェアトークンなど、さまざま種類があります。

身近なMFAデバイスであるスマートフォンを活用

スマートフォンをMFAデバイスとして使用するケースは少なくありません。この場合、ID/パスワードに加え、認証コードの入力などを行う方法が一般的です。スマートフォンでプッシュ通知を受け取り、受け取ったコードを入力することで認証を行います。

また、スマートフォンでワンタイムパスワードを生成する方法もあります。ワンタイムパスワードとは一度だけ有効な使い捨てパスワードで、ユーザーのスマートフォンのアプリ上で、一定時間毎にパスワードを生成する仕組みです。一度利用したパスワードは、2回目以降は認証に利用することができないので、仮にインターネット上でパスワードを盗まれても利用される事は無く、非常に高いセキュリティを保つことができます。

鍵のように差し込み、本人認証する「物理セキュリティキー」

企業や団体などの組織内では、パスワードを使用しない多要素認証として、物理セキュリティキーを使う場合もあります。物理セキュリティキーは、物理的な鍵のように、MFAデバイスをパソコンなどの機器のUSB端子に挿します。

物理セキュリティキーは、アカウントにログインしているのが本人かどうかを物理的に確かめることで認証する仕組みです。ハッカーが、なんらかの方法で窃取したユーザー名やパスワードを利用し、本人になりすましてログインする不正を防ぎます。

ワンタイムパスワードを表示するMFAデバイス

ワンタイムパスワードを生成するOTPトークンも、よく使われているMFAデバイスのひとつです。OTPトークンは、ポケットや財布に入れて持ち運べるように小型のデバイスにデザインされています。利用者のキーチェーンにつけられるように設計されているタイプやカード型のOTPトークンもあります。

Microsoft Entra ID (旧称 Azure AD)やSaleseforceのMFAにFIDOセキュリティキー

Microsoft Entra ID (旧称 Azure AD)やSaleseforceの利用ユーザーの増加に伴い、弊社にはFIDOセキュリティキーに関するお問合せが増えています。
FIDOとは「Fast IDentity Online」の略で、Google、Microsoft、Yahoo、LINEといったIT業界をリードする企業が名を連ねる、2012年7月に発足した非営利団体「FIDOアライアンス」がグローバルで標準化と普及を進めている認証規格です。

FIDO認証に準拠したデバイスがFIDOセキュリティキーで、Microsoft Entra IDやSaleseforceのMFAデバイスとして推奨されています（Microsoft Entra IDではOTPトークンも推奨されています）。簡単操作で高セキュリティのFIDOセキュリティキーは、スマートフォンをMFAデバイスとして利用できないような環境で導入されるケースが多いです。

■Microsoft Entra ID (旧称 Azure AD)の多要素認証（MFA）にFIDOキー/OTPトークンが対応

■Saleseforceの多要素認証（MFA）にFIDOセキュリティキー