連載
もはや常識? 「多要素認証」の仕組みや注意点を把握しよう:ビジネスパーソンのためのIT用語基礎解説
IT用語の基礎の基礎を、初学者や非エンジニアにも分かりやすく解説する本連載、第27回は「多要素認証」です。ITエンジニアの学習、エンジニアと協業する業務部門の仲間や経営層への解説にご活用ください。
1 多要素認証とは
多要素認証(Multi-Factor Authentication:MAF)は、ユーザーがシステムにログインする際などに、2種類以上の異なる種類の情報を使用して認証するセキュリティの仕組みです。
例えば、パスワードに加えて、スマートフォンのSMS(ショートメッセージサービス)で受け取るワンタイムパスワードや指紋認証などを組み合わせることで、より安全なアクセスを実現します。
近年はサイバー攻撃による個人情報の漏えいや不正利用が増加しており、パスワードの漏えいにより被害に遭うケースが増えています。多要素認証を活用することで、パスワードが漏えいしても他の認証情報で侵入を防げるため、不正アクセスのリスクを下げることができます。このような背景から、さまざまなサービスで多要素認証の設定が推奨されています。
2 多要素認証の仕組み
多要素認証は、以下の3つの要素を複数組み合わせて認証します。
2.1 知識情報
本人のみが知っている情報であることを前提に、パスワードやPIN(※1)、合言葉などの質問の回答を利用します。
知識情報は簡単に推測されたり、使い回したりすることでセキュリティの弱点となる可能性があります。フィッシング攻撃(※2)や辞書攻撃(※3)によって盗まれるリスクが高いため、複雑なパスワードを作成した上で、他の認証要素と組み合わせ、リスクを軽減することが推奨されています。
※1 PIN:Personal Identification Numberの略称で、スマートフォンやPCのロック解除などで使用される番号のこと。ICカードやスマートフォンなどのデバイスと直接ひも付いており、認証の際にネットワークに情報が流れるリスクを軽減する
※2 フィッシング攻撃:偽のWebサイトやメールを用いて、ユーザーに個人情報や機密情報を入力させて情報を盗み取る手法のこと
※3 辞書攻撃:攻撃者が事前に用意した一般的な単語やフレーズのリスト(辞書)を使って、ユーザーのパスワードを推測する攻撃手法のこと。辞書に記載されているような言葉や簡単な単語/フレーズを高速で試行し、正しいパスワードを突き止める
2.2 所持情報
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
イマドキの小学生は「多要素認証」を正しく使いこなすらしい
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第10列車は「多要素認証」です。※秋の特別列車、3両編成です。小学生でも多要素認証の今、企業の認証/ID管理は使いにくい、不自由にもほどがある 未来は変容するのか
2024年2月27日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」の「多要素認証から始めるID管理・統制」ゾーンで、パロンゴ 取締役 兼 最高技術責任者 林達也氏が「デジタルアイデンティティー時代のID管理・認証/認可の変容と社会受容」と題して講演した。産官学でデジタルアイデンティティーをウオッチし、策定にまで関わる同氏が、ゼロトラスト時代に重要な認証、認可の現在を、「社会受容」というキーワードを絡めて解説するセッションだ。パスワードマネジャーのパスワードは、どうやって管理すればいいの?
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第41列車は「漏えいとパスワードの使い回し」です。※このマンガはフィクションです。