もはや常識？ 「多要素認証」の仕組みや注意点を把握しよう：ビジネスパーソンのためのIT用語基礎解説

IT用語の基礎の基礎を、初学者や非エンジニアにも分かりやすく解説する本連載、第27回は「多要素認証」です。ITエンジニアの学習、エンジニアと協業する業務部門の仲間や経営層への解説にご活用ください。

[古閑俊廣（BFT），＠IT]

1　多要素認証とは

　多要素認証（Multi-Factor Authentication：MAF）は、ユーザーがシステムにログインする際などに、2種類以上の異なる種類の情報を使用して認証するセキュリティの仕組みです。

　例えば、パスワードに加えて、スマートフォンのSMS（ショートメッセージサービス）で受け取るワンタイムパスワードや指紋認証などを組み合わせることで、より安全なアクセスを実現します。

　近年はサイバー攻撃による個人情報の漏えいや不正利用が増加しており、パスワードの漏えいにより被害に遭うケースが増えています。多要素認証を活用することで、パスワードが漏えいしても他の認証情報で侵入を防げるため、不正アクセスのリスクを下げることができます。このような背景から、さまざまなサービスで多要素認証の設定が推奨されています。

2　多要素認証の仕組み

　多要素認証は、以下の3つの要素を複数組み合わせて認証します。

図1：認証の3要素

2.1　知識情報

　本人のみが知っている情報であることを前提に、パスワードやPIN（※1）、合言葉などの質問の回答を利用します。

　知識情報は簡単に推測されたり、使い回したりすることでセキュリティの弱点となる可能性があります。フィッシング攻撃（※2）や辞書攻撃（※3）によって盗まれるリスクが高いため、複雑なパスワードを作成した上で、他の認証要素と組み合わせ、リスクを軽減することが推奨されています。

※1 PIN：Personal Identification Numberの略称で、スマートフォンやPCのロック解除などで使用される番号のこと。ICカードやスマートフォンなどのデバイスと直接ひも付いており、認証の際にネットワークに情報が流れるリスクを軽減する

※2 フィッシング攻撃：偽のWebサイトやメールを用いて、ユーザーに個人情報や機密情報を入力させて情報を盗み取る手法のこと

※3 辞書攻撃：攻撃者が事前に用意した一般的な単語やフレーズのリスト（辞書）を使って、ユーザーのパスワードを推測する攻撃手法のこと。辞書に記載されているような言葉や簡単な単語／フレーズを高速で試行し、正しいパスワードを突き止める

2.2　所持情報