多要素認証(MFA)の概念は理解できても、実際にどのような場面でどのように使われているのかイメージしにくいという方も多いでしょう。
多要素認証は、インターネットバンキング・会社のシステムへのログイン・スマートフォンのロック解除など、私たちの日常のさまざまな場面で活用されています。
具体的な例を知ることで、多要素認証の理解が深まり、自分でも適切な設定ができるようになるでしょう。
本記事では、多要素認証の具体的な利用シーン・認証パターン・実際の操作の流れまで詳しく紹介していきます。
日常生活での多要素認証の具体例
それではまず、日常生活で使われている多要素認証の具体例について解説していきます。
多要素認証は特別な場面だけでなく、私たちが毎日使うサービスの多くに組み込まれています。
日常生活でよく見られる多要素認証の例
①インターネットバンキング:パスワード(知識)+ワンタイムパスワード・トークン(所有)
②Googleアカウント:パスワード(知識)+スマートフォンの認証アプリ(所有)
③ATM利用:キャッシュカード(所有)+暗証番号(知識)
④スマートフォンのロック解除:PIN(知識)+指紋・顔認証(生体)
⑤会社のVPNログイン:パスワード(知識)+スマートカード・ハードウェアトークン(所有)
ATMでのキャッシュカード+暗証番号の組み合わせは、デジタル以前から存在する多要素認証の代表例です。
「持っているカード(所有要素)+知っている暗証番号(知識要素)」という組み合わせが、長年にわたって安全な認証手段として機能しているでしょう。
Googleアカウントでの多要素認証の流れ
最もよく使われる多要素認証の例として、Googleアカウントのログインを確認します。
Googleアカウントの多要素認証の流れ
①Googleのログイン画面でメールアドレスを入力
②パスワードを入力(知識要素)
③スマートフォンに「Googleからのサインイン確認」が届く(所有要素)
または:認証アプリのワンタイムコードを入力
または:スマートフォンの指紋認証で確認
④確認後、ログイン完了
Google の2段階認証では、パスワードに加えてGoogleプロンプト(スマートフォンへの通知)・SMS・認証アプリ・ハードウェアキーなど複数の第2認証オプションから選べるでしょう。
インターネットバンキングでの多要素認証
銀行のインターネットバンキングは、多要素認証が特に重要な分野のひとつです。
一般的な流れとして、まずID・パスワードでログインし(知識要素)、振込などの重要操作を行う際にSMSまたは専用トークンで生成したワンタイムパスワードを入力する(所有要素)という2段階の認証が行われます。
ワンタイムパスワードは使い捨てであるため、仮にパスワードが盗まれてもワンタイムパスワードなしには振込操作ができないという安全設計になっています。
企業・ビジネスシーンでの多要素認証の例
続いては、企業・ビジネスシーンでの多要素認証の具体例を確認していきます。
企業においてはリモートワークの普及に伴い、VPN・クラウドサービス・業務システムへのアクセスにMFAが標準的に求められるようになっています。
Microsoft 365・Azure ADでの多要素認証
多くの企業で使われているMicrosoft 365(旧Office 365)では、Microsoft Authenticatorアプリを使った多要素認証が標準サポートされています。
従業員がMicrosoft 365にログインする際、パスワード入力後にスマートフォンのMicrosoft Authenticatorアプリで承認操作を行うか、アプリに表示されたコードを入力することで認証が完了します。
条件付きアクセスポリシーを使って、社外ネットワークからのアクセス時のみMFAを要求する設定も可能であり、セキュリティと利便性を両立できるでしょう。
AWSでの多要素認証設定例
クラウドインフラのAWS(Amazon Web Services)では、管理者アカウントへのMFA設定が強く推奨されています。
AWSコンソールへのログインにTOTPアプリまたはハードウェアMFAデバイスを組み合わせることで、クラウドリソース全体への不正アクセスリスクを大幅に低減できます。
AWSではrootアカウントにMFAを設定することがセキュリティのベストプラクティスとして公式に定められているでしょう。
ゼロトラストセキュリティとMFAの関係
現代の企業セキュリティの考え方である「ゼロトラスト」では、すべてのアクセスを信頼しないという前提に立ち、常にIDの検証を求めるという設計思想が採用されています。
ゼロトラスト環境では、社内ネットワークからのアクセスであっても毎回の認証にMFAが求められるため、多要素認証はその中核技術として位置づけられます。
スマートフォン・デバイスでの多要素認証の例
続いては、スマートフォン・デバイスでの多要素認証の具体例を確認していきます。
| デバイス・サービス | 認証の組み合わせ | 要素の種類 |
|---|---|---|
| iPhoneのロック解除 | Face ID(顔認証)+PINコード | 生体+知識 |
| Androidのロック解除 | 指紋認証+PINコード | 生体+知識 |
| Apple Pay決済 | iPhone所持+Face ID | 所有+生体 |
| Apple IDログイン | パスワード+信頼済みデバイス確認 | 知識+所有 |
| パスキー認証 | デバイス所持+生体認証 | 所有+生体 |
スマートフォン決済サービス(Apple Pay・Google Pay)は、「端末を持っている(所有要素)+生体認証(生体要素)」という組み合わせで高いセキュリティを実現している好例でしょう。
パスキーによる次世代の多要素認証例
近年普及が進んでいる「パスキー(Passkey)」は、従来のパスワードを置き換える新しい認証方式です。
パスキーはデバイスに紐付いた公開鍵暗号と生体認証を組み合わせており、「デバイスを持っている(所有要素)+指紋・顔認証(生体要素)」という組み合わせで多要素認証を実現します。
GoogleアカウントやApple ID・GitHubなど、主要なサービスがパスキーに対応を進めており、今後の認証の主流になることが期待されているでしょう。
まとめ
本記事では、多要素認証の具体的な例・日常生活・企業・デバイスでの利用シーン・パスキーなど最新の認証方式まで幅広く解説してきました。
多要素認証はATMから銀行オンラインサービス・企業システム・スマートフォンまで、私たちの身近なあらゆる場面で活用されています。
パスワード+SMS・パスワード+認証アプリ・デバイス+生体認証など、自分のサービスと用途に合った組み合わせを選ぶことが大切でしょう。
本記事の具体例を参考に、まだ多要素認証を設定していないサービスへの導入を検討してみてください。
