FX取引高 世界第1位 GMOクリック証券 GMO

多要素認証について知っておくべき5つのポイント

MFA_top.jpg

ここ1, 2年ほどで、急速に存在感を増してきた「多要素認証」。実際、「多要素認証」という語で検索される回数は、2年前と比べて2倍になっており、徐々に注目度が高まっている語であることが分かります。

しかし、残念ながら「多要素認証」という言葉は、まだまだ正しい理解のもとに使われているとは言い難く、また別な語と混同して利用している方が多くいるのが実情です。以下では、多要素認証について知っておくべき5つのポイントを、できるだけ分かりやすく紹介します。

 

 

1.認証の3要素とは何か

MFA_3factors.jpg

まず。「多要素『認証』」の認証という語について理解します。認証とは、システムやサービスが「この人はシステムを利用する権限がある」と判別することです。最も多い認証方法は「IDとパスワードを入力する認証」となります。

さて、この認証には3つの要素があります。

  • Something they know (知識要素)
    知識要素とは、「ある人が知っている、記憶している情報が認証要素」となるものです。最も有名なものとしてはパスワードです。
  • Something they have (所有要素)
    所有要素は、「ある人が持っているものにある情報が認証要素」となるものです。文字列が表示されるトークンや、SMSなどが有名です。
  • Something they are (生体要素)
    生体要素は、「ある人がそのままの状態で『ある』、つまりある人の人体が認証要素」となるものです。指紋、静脈、虹彩などが有名です。

認証とは、これらの認証要素を、1つ、2つ、または3つ用いて行われます。例えば、「IDとパスワード」であれば、「知識認証が1つ」といった具合です。

 

 

2.Authenticatorとは何か

MFA_authenticator.jpg

「パスワード」「トークン」「指紋」というような、具体的に認証を行う方法をカテゴリ分けしたものを、Authenticator (オーセンティケータ、認証子) と呼びます。

このAuthenticatorは、9つのタイプに分かれています。具体的には以下の通りです。

 MFA_authenticator.png

(上記表は、SKUIDブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)

各タイプの右側には、具体的な認証方法、そして認証要素が記されています。例えば、「パスワードと乱数表で認証を行った場合、知識情報と所有情報の組み合わせで、2要素認証」といった具合です。

当社のクラウド型シングルサインオン製品「SKUID」は、ワンタイムパスワード (OTP) 対応。
多要素認証を手軽に導入できます。

 

 

3.認証の強度とは何か

MFA_kyoudo.jpg

認証には「セキュリティ的に弱い認証」と「セキュリティ的に強固な認証」があり、何が弱くて、何が強いかについて明確に定義づけられています。この強度は、Authenticator Assurance Level (通称AAL)と呼ばれ、AAL1, AAL2, AAL3と3段階あります。数字が大きい方がセキュリティが高いことを意味します。

MFA_AAL.png

(上記表は、SKUIDブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)

例えば、「パスワードのみ」の認証の場合、認証要素が「知識要素のみ=1要素」となるため、強度はAAL1となります。

「パスワード」と「SMS」の場合は、認証要素が「知識要素と所持要素=2要素」で、所持情報はソフトウェアベースとなるため、強度はAAL2となる、といった具合です。

認証要素が2つ、もしくはそれ以上で、ハードウェアデバイスを利用した認証が含まれると「AAL3」となり、認証強度が最も高くなります。

 

 

4.「二段階認証」「二要素認証」「多要素認証」は何が違うか

MFA_2FA.jpg

次に、まぎらわしい3つの語についてご説明します。「二段階認証」「二要素認証」「多要素認証」という言葉は、似て非なる言葉ですので注意が必要です。

MFA_2FA__1_.png

二段階認証 (Two Step Authentication) とは

二段階認証は、「認証が2段階(2ステップ)で行われる認証」を示す語で、「認証要素がいくつ含まれているか」を示す語ではありません。例えば、1段階目に「ID・パスワード」を入力した後、そのID・パスワードが正しかった場合に、2段階目として「第2パスワード」を入力するようなものです。

この場合は、「ID・パスワード」「第2パスワード」ともに、認証要素の「知識要素」となりますので、「2段階認証」を満たしますが、認証要素は1つしか含まれていないため、認証強度としては「AAL1」となり、相対的に弱いのです。

二段階認証は、あくまで認証が2ステップで行われていることを示す語で、認証の強度とは直結しない点に注意が必要です。

 

二要素認証 (Two Factor Authentication) とは

二要素認証とは、「認証要素を2つ含む認証」を示します。例えば、認証に「IDパスワード(知識要素)」と「ワンタイムパスワード(所持要素)」の2つを用いると、2要素が用いられた認証なので「二要素認証」となります。なお、「二段階認証」とは異なり、認証のステップ数は問題ではありません。1ステップでの認証でも、2ステップでの認証でも、2つの認証要素さえ満たせば「二要素認証」となります。

上記の認証強度の表にある通り、2つの要素を持つ場合、認証強度は「AAL2」または「AAL3」となります。

 

多要素認証 (Multi Factor Authentication) とは

多要素認証は、「認証要素が2つ以上(複数)含む認証」であることを示す語です。認証要素は「知識要素」「所持要素」「生体要素」の3つがありますが、このうちの2つ、または3つを含んでいれば「多要素認証」となります。

「多要素認証」と「二要素認証」との違いは、二要素認証が「認証要素が2つ」であることに対し、多要素認証は「認証要素が2つ以上 (3つでもOK)」であることを示していることのみです。

このため、多要素認証という語は、「二要素認証」とほとんど同じ意味の語として用いられます。認証の強度を示す「AAL」においても、最も強度の高い「AAL3」であっても3要素の認証は求められていません。つまり、最高レベルの認証強度を満たす場合であっても、認証要素は2つで十分であることから、認証要素が3つ使われることが少ないためです。

 

 

5.なぜ「秘密の質問」の利用は認証強度を高めないか

MFA_Secret.jpg

一昔前は、「認証強度を高めるために秘密の質問を使うべき」という流れがありました。しかし、これは多要素認証と言う観点からは、「ID・パスワード」と同じ認証要素(知識要素)である「秘密の質問」を用いたところで、認証強度を高めるとは見なされなくなったため、現在では秘密の質問の利用は推奨されていません。

・参考記事
 世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

現在でも多くのホームページにおいて、秘密の質問が利用されています。しかし、各サイトのシステム更新タイミングで、秘密の質問は次第に利用されなくなっていくものと考えられます。

 

 

多要素認証について正しく理解したうえで導入・活用する

MFA_katsuyo.jpg

多要素認証という言葉自体、まだまだ新しい言葉です。また、世界の電子認証に関する基準は、アメリカ国立標準技術研究所(NIST)が作成するガイドラインを用いられることが多いですが、このガイドラインも数年に一度変更となります。ぜひ、最新の情報に当たり、その時々で適切な認証を適宜導入ください。

なお、クラウド型シングルサインオン製品である当社の「SKUID」では、多数のサービスのIDパスワードをまとめて管理することができるだけでなく、ワンタイムパスワード(OTP)の利用も提供しております。「SKUIDのID・パスワード(知識要素)」と「ワンタイムパスワード(所持要素)」を用いると、「AAL2」を満たす「多要素認証」となりますので、ぜひ一度お試しいただければと思います。

当社のクラウド型シングルサインオン製品「SKUID」は、ワンタイムパスワード (OTP) 対応。
多要素認証を手軽に導入できます。

多要素認証について知っておくべき5つのポイント

MFA_top.jpg

ここ1, 2年ほどで、急速に存在感を増してきた「多要素認証」。実際、「多要素認証」という語で検索される回数は、2年前と比べて2倍になっており、徐々に注目度が高まっている語であることが分かります。

しかし、残念ながら「多要素認証」という言葉は、まだまだ正しい理解のもとに使われているとは言い難く、また別な語と混同して利用している方が多くいるのが実情です。以下では、多要素認証について知っておくべき5つのポイントを、できるだけ分かりやすく紹介します。

 

 

1.認証の3要素とは何か

MFA_3factors.jpg

まず。「多要素『認証』」の認証という語について理解します。認証とは、システムやサービスが「この人はシステムを利用する権限がある」と判別することです。最も多い認証方法は「IDとパスワードを入力する認証」となります。

さて、この認証には3つの要素があります。

  • Something they know (知識要素)
    知識要素とは、「ある人が知っている、記憶している情報が認証要素」となるものです。最も有名なものとしてはパスワードです。
  • Something they have (所有要素)
    所有要素は、「ある人が持っているものにある情報が認証要素」となるものです。文字列が表示されるトークンや、SMSなどが有名です。
  • Something they are (生体要素)
    生体要素は、「ある人がそのままの状態で『ある』、つまりある人の人体が認証要素」となるものです。指紋、静脈、虹彩などが有名です。

認証とは、これらの認証要素を、1つ、2つ、または3つ用いて行われます。例えば、「IDとパスワード」であれば、「知識認証が1つ」といった具合です。

 

 

2.Authenticatorとは何か

MFA_authenticator.jpg

「パスワード」「トークン」「指紋」というような、具体的に認証を行う方法をカテゴリ分けしたものを、Authenticator (オーセンティケータ、認証子) と呼びます。

このAuthenticatorは、9つのタイプに分かれています。具体的には以下の通りです。

 MFA_authenticator.png

(上記表は、SKUIDブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)

各タイプの右側には、具体的な認証方法、そして認証要素が記されています。例えば、「パスワードと乱数表で認証を行った場合、知識情報と所有情報の組み合わせで、2要素認証」といった具合です。

当社のクラウド型シングルサインオン製品「SKUID」は、ワンタイムパスワード (OTP) 対応。
多要素認証を手軽に導入できます。

 

 

3.認証の強度とは何か

MFA_kyoudo.jpg

認証には「セキュリティ的に弱い認証」と「セキュリティ的に強固な認証」があり、何が弱くて、何が強いかについて明確に定義づけられています。この強度は、Authenticator Assurance Level (通称AAL)と呼ばれ、AAL1, AAL2, AAL3と3段階あります。数字が大きい方がセキュリティが高いことを意味します。

MFA_AAL.png

(上記表は、SKUIDブログ: 世界の電子認証基準が変わる:NIST SP800-63-3を読み解くから引用)

例えば、「パスワードのみ」の認証の場合、認証要素が「知識要素のみ=1要素」となるため、強度はAAL1となります。

「パスワード」と「SMS」の場合は、認証要素が「知識要素と所持要素=2要素」で、所持情報はソフトウェアベースとなるため、強度はAAL2となる、といった具合です。

認証要素が2つ、もしくはそれ以上で、ハードウェアデバイスを利用した認証が含まれると「AAL3」となり、認証強度が最も高くなります。

 

 

4.「二段階認証」「二要素認証」「多要素認証」は何が違うか

MFA_2FA.jpg

次に、まぎらわしい3つの語についてご説明します。「二段階認証」「二要素認証」「多要素認証」という言葉は、似て非なる言葉ですので注意が必要です。

MFA_2FA__1_.png

二段階認証 (Two Step Authentication) とは

二段階認証は、「認証が2段階(2ステップ)で行われる認証」を示す語で、「認証要素がいくつ含まれているか」を示す語ではありません。例えば、1段階目に「ID・パスワード」を入力した後、そのID・パスワードが正しかった場合に、2段階目として「第2パスワード」を入力するようなものです。

この場合は、「ID・パスワード」「第2パスワード」ともに、認証要素の「知識要素」となりますので、「2段階認証」を満たしますが、認証要素は1つしか含まれていないため、認証強度としては「AAL1」となり、相対的に弱いのです。

二段階認証は、あくまで認証が2ステップで行われていることを示す語で、認証の強度とは直結しない点に注意が必要です。

 

二要素認証 (Two Factor Authentication) とは

二要素認証とは、「認証要素を2つ含む認証」を示します。例えば、認証に「IDパスワード(知識要素)」と「ワンタイムパスワード(所持要素)」の2つを用いると、2要素が用いられた認証なので「二要素認証」となります。なお、「二段階認証」とは異なり、認証のステップ数は問題ではありません。1ステップでの認証でも、2ステップでの認証でも、2つの認証要素さえ満たせば「二要素認証」となります。

上記の認証強度の表にある通り、2つの要素を持つ場合、認証強度は「AAL2」または「AAL3」となります。

 

多要素認証 (Multi Factor Authentication) とは

多要素認証は、「認証要素が2つ以上(複数)含む認証」であることを示す語です。認証要素は「知識要素」「所持要素」「生体要素」の3つがありますが、このうちの2つ、または3つを含んでいれば「多要素認証」となります。

「多要素認証」と「二要素認証」との違いは、二要素認証が「認証要素が2つ」であることに対し、多要素認証は「認証要素が2つ以上 (3つでもOK)」であることを示していることのみです。

このため、多要素認証という語は、「二要素認証」とほとんど同じ意味の語として用いられます。認証の強度を示す「AAL」においても、最も強度の高い「AAL3」であっても3要素の認証は求められていません。つまり、最高レベルの認証強度を満たす場合であっても、認証要素は2つで十分であることから、認証要素が3つ使われることが少ないためです。

 

 

5.なぜ「秘密の質問」の利用は認証強度を高めないか

MFA_Secret.jpg

一昔前は、「認証強度を高めるために秘密の質問を使うべき」という流れがありました。しかし、これは多要素認証と言う観点からは、「ID・パスワード」と同じ認証要素(知識要素)である「秘密の質問」を用いたところで、認証強度を高めるとは見なされなくなったため、現在では秘密の質問の利用は推奨されていません。

・参考記事
 世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

現在でも多くのホームページにおいて、秘密の質問が利用されています。しかし、各サイトのシステム更新タイミングで、秘密の質問は次第に利用されなくなっていくものと考えられます。

 

 

多要素認証について正しく理解したうえで導入・活用する

MFA_katsuyo.jpg

多要素認証という言葉自体、まだまだ新しい言葉です。また、世界の電子認証に関する基準は、アメリカ国立標準技術研究所(NIST)が作成するガイドラインを用いられることが多いですが、このガイドラインも数年に一度変更となります。ぜひ、最新の情報に当たり、その時々で適切な認証を適宜導入ください。

なお、クラウド型シングルサインオン製品である当社の「SKUID」では、多数のサービスのIDパスワードをまとめて管理することができるだけでなく、ワンタイムパスワード(OTP)の利用も提供しております。「SKUIDのID・パスワード(知識要素)」と「ワンタイムパスワード(所持要素)」を用いると、「AAL2」を満たす「多要素認証」となりますので、ぜひ一度お試しいただければと思います。

当社のクラウド型シングルサインオン製品「SKUID」は、ワンタイムパスワード (OTP) 対応。
多要素認証を手軽に導入できます。