多要素認証(MFA)にはさまざまな種類があり、利用するサービスや求めるセキュリティレベルに応じて使い分けることが重要です。
知識要素・所有要素・生体要素という3つのカテゴリーごとに、具体的な認証手段が複数存在します。
それぞれの特徴・メリット・デメリットを理解することで、自分の状況に最適な認証方式を選べるようになるでしょう。
本記事では、多要素認証の各種類・認証要素の詳細・SMS認証・認証アプリ・指紋認証などの具体的な方法まで詳しく解説していきます。
多要素認証の3つの認証要素を詳しく解説
それではまず、多要素認証を構成する3つの認証要素カテゴリーを詳しく解説していきます。
多要素認証の核心は「異なるカテゴリーの要素を組み合わせること」であり、各カテゴリーの特性を理解することが重要です。
知識要素(Something you know)
知識要素とは、本人だけが知っている情報を使って認証する要素のことです。
代表的な知識要素としてパスワード・PINコード・秘密の質問の答え・パターンロックなどがあります。
知識要素は追加の機器を必要としないため導入コストが低く、長年にわたって最も広く使われてきた認証手段です。
一方で、フィッシング・パスワードの使い回し・辞書攻撃など多くの脅威にさらされやすく、単独での使用はリスクが高い方式といえるでしょう。
所有要素(Something you have)
所有要素とは、本人が物理的に所持しているデバイスや媒体を使って認証する要素のことです。
スマートフォン・ハードウェアトークン(YubiKeyなど)・ICカード・スマートカード・認証アプリが入ったデバイスなどが所有要素の代表例です。
所有要素はパスワードと異なり「物理的なデバイスを盗む」という行為が必要なため、遠隔からの攻撃に強いという特徴があります。
ただしデバイスの紛失・盗難が直接リスクになるため、管理に注意が必要でしょう。
生体要素(Something you are)
生体要素とは、本人の身体的・行動的な特徴を使って認証する要素のことです。
指紋認証・顔認証・虹彩認証・声紋認証・静脈認証などが代表的な生体認証方式です。
「自分自身の特徴」を使うため、パスワードのように忘れたり、トークンのように紛失したりするリスクがほぼゼロという大きな利点があります。
スマートフォンの指紋認証・顔認証が普及したことで、生体要素を使った多要素認証が身近になってきているでしょう。
代表的な多要素認証の種類と特徴
続いては、代表的な多要素認証の種類と特徴を確認していきます。
SMS認証(ショートメッセージ認証)
SMS認証は、ログイン時に登録済みの携帯電話番号にワンタイムコードをSMSで送信し、そのコードを入力する方式です。
導入が簡単で多くのサービスが対応しており、スマートフォンがあれば追加のアプリが不要という手軽さが特徴です。
一方、SIMスワッピング攻撃(携帯番号の乗っ取り)やSMSの傍受リスクがあるため、高いセキュリティが必要な場面では認証アプリの使用が推奨されます。
TOTPアプリ(Google Authenticator・Microsoft Authenticator等)
TOTPアプリは、スマートフォンにインストールした認証アプリが30秒ごとに更新される6桁のワンタイムパスワードを生成する方式です。
インターネット接続不要で使えること、SMS認証より安全であること、複数のサービスを1つのアプリで管理できることが主な利点でしょう。
スマートフォンの紛失時に備えてリカバリーコードをあらかじめ保存しておくことが重要です。
ハードウェアセキュリティキー(FIDO2・WebAuthn)
YubiKeyに代表されるハードウェアセキュリティキーは、USB・NFC・Bluetoothで使用する物理的な認証デバイスです。
FIDO2・WebAuthn規格に基づいており、フィッシングサイトでは動作しないドメイン検証機能を持つため、フィッシング耐性が非常に高い認証方式です。
企業のゼロトラストセキュリティ戦略においても、ハードウェアセキュリティキーの採用が増加しているでしょう。
指紋認証・顔認証(生体認証MFA)
スマートフォンの指紋センサーや顔認証カメラを使った生体認証は、パスワード入力が不要でありながら高い本人確認精度を持ちます。
Appleの「Face ID」・「Touch ID」やAndroidの指紋認証は、パスキー(Passkey)と組み合わせることで、パスワード不要の安全な認証体験を実現できます。
生体情報はデバイス内でのみ処理されサーバーに送信されない設計が一般的であり、プライバシー面でも配慮された設計となっているでしょう。
認証要素の組み合わせと推奨パターン
続いては、認証要素の効果的な組み合わせと推奨パターンを確認していきます。
| 組み合わせ | 要素の種類 | セキュリティレベル |
|---|---|---|
| パスワード+SMS | 知識+所有 | 中程度 |
| パスワード+認証アプリ | 知識+所有 | 高い |
| パスワード+ハードウェアキー | 知識+所有 | 非常に高い |
| パスワード+指紋認証 | 知識+生体 | 高い |
| パスキー(指紋+デバイス) | 生体+所有 | 非常に高い |
セキュリティリスクが高いほど強い認証方式を採用することが基本方針です。
一般ユーザー向けには認証アプリ、高セキュリティが必要な企業向けにはハードウェアキーやパスキーが推奨されるでしょう。
まとめ
本記事では、多要素認証の3つの認証要素・SMS認証・TOTPアプリ・ハードウェアキー・生体認証の種類と特徴・推奨組み合わせパターンまで詳しく解説してきました。
各認証要素にはそれぞれ特性・メリット・デメリットがあり、利用シーンとセキュリティ要件に応じた最適な組み合わせを選択することが重要です。
セキュリティと利便性のバランスを考慮しながら、まずは認証アプリや生体認証を活用した多要素認証を導入することをおすすめします。
本記事を参考に、自分のサービスやシステムに最適な多要素認証を設定してください。
