MFA（多要素認証）とは？

MFA（多要素認証）は、複数の認証情報または認証要素でアイデンティティの確認を行った後にのみ、ネットワーク、システム、アプリケーションへのアクセスをユーザーに許可するマルチレイヤーセキュリティアクセス管理プロセスです。これは通常、ユーザー名、パスワード、およびテキストまたはEメールで配信される認証コードやOTP（ワンタイムパスワード）、認証アプリケーションからのセキュリティトークン、生体認証識別子などの別の要素の組み合わせによって行われます。

複数の認証要素を必須とすることで、組織はセキュリティポスチャを大幅に改善できます。これは、プライマリ認証要素が侵害されたり無効化されたりしていても、セカンダリ認証要素を所有または管理していないユーザーは、アクセスが許可されないことが理由です。

MFA（多要素認証）の重要性

CrowdStrike^® Counter Adversary Operationsチームの分析によると、侵害の80%はアイデンティティベースです。従来のセキュリティ対策やツールを使用してアイデンティティベースの攻撃を検知することは、非常に困難です。多くの場合、これらのソリューションは、承認されたユーザーのアクティビティをモニタリングしたり、承認されたユーザーの認証情報が侵害されたときに検知したりする設計にはなっていません。

多要素認証は、強力なIAM（アイデンティティおよびアクセス管理） フレームワークのコアコンポーネントと見なされています。つまり、多要素認証はもともと、セキュリティソリューションではなく、アクセスツールです。

別の言い方をすれば、多要素認証はアイデンティティを確認できないユーザーのアクセスを防ぐことはできますが、正当なユーザーからのリクエストと、正当なユーザーになりすましたユーザーを区別することはできません。さらに、ネットワーク、アプリケーション、エンドポイント、またはシステムへのアクセスをユーザーに許可すると、多要素認証ソリューションではアイデンティティベースの攻撃をリアルタイムで検知または防御することができなくなります。

そのため組織は、多要素認証を、より広範なIAMフレームワーク内の1つのコンポーネントであり、より広範なサイバーセキュリティ戦略とアーキテクチャ内の1つのリンクと見なす必要があります。

MFA（多要素認証）と2FA（2要素認証）

2FA（2要素認証） は、MFA（多要素認証）と同じ意味で使用されることもある用語です。技術的には、2FAはMFA（多要素認証）の一種であり、ユーザーが使用できる認証情報を2つに制限します。MFA（多要素認証）では、2つ以上の形式の認証を必須とします。

デフォルトでは、ほとんどの多要素認証システムは2FAモデルに従いますが、一部の組織では、特にユーザーがネットワークにログインしようとしたり、通常とは異なる場所や疑わしい場所からリソースにアクセスしたりしようとしている場合に、追加の認証方法を必須とする場合があります。

MFA（多要素認証）の仕組み

MFA（多要素認証）は、従来のユーザーIDとパスワードに加えて、1つ以上の認証要素を要求することで機能します。通常、次の同じプロセスに従います。

1. 登録：多要素認証システムでユーザーが登録するには、複数の形式のIDが必要です。登録が完了すると、ユーザーは携帯電話やコンピューターなど、認証に使用するデバイスをリンクします。ユーザーは、Eメールアドレス、電話番号、認証アプリケーションを使用して認証を受けることもできます。
2. 認証：ユーザーとそのすべてのデバイスが登録されると、MFA（多要素認証）を必要とするWebサイトまたはアプリケーションにログインする際に、ユーザー名とパスワード、および登録済みデバイスの1つからの認証応答の入力を求められます。
3. 応答：ユーザーは認証要求に応答する必要があります。選択したMFA（多要素認証）の方法に応じて、登録済みデバイスで受信したコードを入力するよう促されたり、認証のためにボタンを押すよう求められたりすることがあります。

一般的なMFA（多要素認証）の種類と方法

ほとんどの認証方法は、次のいずれかの種類に分類できます。

1. ユーザーが記憶している要素（知識ベース）

これは、知識ベースの認証情報を指します。これは、最も単純かつ最も一般的な認証形式です。このカテゴリーには、PIN、ユーザーが作成したパスワード、セキュリティ質問への回答が含まれます。

方法

• ワンタイムパスワード：ワンタイムパスワード (OTP) は、最も一般的に使用される多要素認証要素です。OTPは、Eメール、SMS、またはGoogle Authenticator、Microsoft Authenticator、Salesforce Authenticatorなどのモバイルアプリケーションを介して送信される数値コードです。OTPは、定義された期間が経過した後、または新しい認証要求が送信されるたびに再生成されます。そのコードは、初期登録時にユーザーに割り当てられたシード値と、追加の時間ベースの係数に基づいたものです。

• 個人の秘密の質問：場合によっては、個人の秘密の質問（つまり、自分だけが答えを知っている質問）への回答を求められることがあります。一般的なセキュリティの質問に対する回答として、祖母の旧姓、幼なじみの親友の名前、自分が生まれた都市、初めて飼ったペットの名前、子供の頃に住んでいた通りの名前などがあります。

2. ユーザーが所有している要素（所有ベース）

所有ベースの認証情報では、ユーザーはセキュリティトークンや証明書などのアセットを生成または受信する必要があります。これは、Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリケーション、またはテキスト、Eメール、セキュアリンクで配信される時間的制約のあるOTPを使用して行うことができます。

方法

• ワンタイムパスワード：OTPにアクセスするには、スマートフォンやコンピューターなどの物理デバイスが必要であるため、OTPは所有ベースの方法とも見なされています。
• スマートカードと暗号化ハードウェアトークン：これらは、暗号化解除や署名などの暗号化操作を実行できる物理デバイスであり、内部キーは完全に分離されたエンクレーブ内で物理的にセキュリティ保護されています。これらは、コンピューターのログイン（Windowsスマートカードサインインなど）や、トランザクションを承認するためのデジタル署名ベースの検証に使用できます。スマートカードは非接触型の場合もあれば、専用のリーダーが必要な場合もありますが、暗号化ハードウェアトークンは接続にUSBを必要とします。
• ハードウェアOTPトークン：銀行取引の領域で一般的に使用されているハードウェアOTPトークンは、デバイス内およびサーバーに保存されている暗号化キーを介して使い捨てコードを生成するデバイスです。ログイン時に、システムはデバイスキーとサーバーキーが一致していることを確認してユーザーを認証します。
• ソフトトークンソフトウェア開発キット (SDK)：この認証方法では、モバイルアプリケーションに埋め込まれたデジタル署名などの暗号化操作を使用して、ユーザーとデバイスを認証します。ソフトトークンSDKは、ユーザーがアプリケーションを切り替えたりハードウェアデバイスを使用したりする必要がないため、シームレスな操作性を実現します。

3. ユーザー自身の要素（推論ベース）

これは、模倣するのが最も難しい認証要素です。これには、指紋、顔認識、虹彩スキャンなどの生理学的特性に基づく生体認証識別子や、キーストロークパターンなどの行動特性に基づく識別子が含まれます。

方法

• 生体認証：MFA（多要素認証）の一般的な手法の1つとして、指紋、顔の特徴、虹彩や網膜のスキャン、音声IDなどの生まれつきの生体認証特性を測定して、ユーザーのアイデンティティを確認する方法があります。この技術は当初、非常に強力な認証要素と見なされていましたが、3DプリントとAIが生成した指紋がこれらの技術を回避できることが明らかになると、熱狂は薄れました。
• 振る舞い分析：使用の程度は低いですが、一部の組織は、ユーザーのアイデンティティを確認するために行動バイオメトリクスを使用する場合もあります。この方法では、個人の振る舞いにおける一意に識別可能で測定可能なパターンを利用して、個人のアイデンティティを確認します。例えば、キーストロークダイナミクスは、タイプ入力中の速度、リズム、圧力を分析してユーザーのアイデンティティを確認できます。

MFA（多要素認証）のメリット

MFA（多要素認証）によって、組織は以下に示す多くの重要なメリットを得ることができます。

MFA（多要素認証）の課題

他のテクノロジーと同様に、MFA（多要素認証）の実装と運用により、組織に課題が生じる可能性があります。例：

• 従業員が多層防御方式の一部である携帯電話やその他の個人用デバイスを紛失した場合、システムへのアクセス、ひいては生産性に一時的に影響を与える可能性があります。
• 多要素認証アルゴリズムで使用される生体認証データには、完全かつ正確な初期入力が必要です。元の入力が正しく行われなかった場合、システムでフォールスポジティブやフォールスネガティブが生じる可能性があります。
• 多要素認証検証は、企業のネットワークまたはインターネットで障害が発生した場合、一時的に使用できなくなる可能性があります。

MFA（多要素認証）の未来

多要素認証は、完全無欠なセキュリティプロセスではありません。サイバー犯罪者は、ネットワークを侵害する新しい手口を生み出すために日夜取り組んでいます。同様に、MFA（多要素認証）のセキュリティ対策の回避、トークンの傍受、セカンダリ認証情報の偽造を画策しています。これらの潜在的な弱点を軽減するには、巧妙化する脅威から保護するために多要素認証技術を継続的にアップグレードし、他のセキュリティツールやソリューションで強化する必要があります。

組織は、多要素認証の実装に加え、以下に示したアイデンティティセキュリティのベストプラクティスを採用して、セキュリティポスチャの改善に努めるべきです。これらは、ネットワークアクセスとアカウント特権を制限し、侵害が発生した場合にハッカーの動きを封じ込めることを目的としています。

• 最小特権の原則 (POLP)：POLPはコンピューターセキュリティのコンセプトおよび手法で、ユーザーの業務に必要なタスクに基づいて制限されたアクセス権をユーザーに与えるものです。アイデンティティが検証された承認済みのユーザーのみが、特定のシステム、アプリケーション、データ、その他のアセット内での職務に必要な権限を持てるようになります。これにより、組織でネットワークとデータアクセスを制御してモニタリングできるようになるため、この原則は、組織のサイバーセキュリティポスチャを強化するための最も効果的な実践の1つになると広く考えられています。
• ゼロトラスト：ゼロトラストとは、アプリケーションやデータへのアクセス権を付与する前に、組織のネットワークの内外を問わず、すべてのユーザーの認証、承認、継続的な検証を必須とするセキュリティフレームワークのことです。このフレームワークは、リスクベースの多要素認証、アイデンティティ保護、次世代エンドポイントセキュリティ、堅牢なクラウドワークロードテクノロジーなどの先進テクノロジーを組み合わせたものです。これを採用することで、ユーザーやシステムのアイデンティティを検証し、その時点でのアクセスを検討することで、システムセキュリティを維持します。ゼロトラストでは、データの暗号化、Eメールの保護、およびアプリケーションに接続する前のアセットとエンドポイントのハイジーンの検証も必要です。
• PAM（特権アクセス管理）：PAMは、特権認証情報のセキュリティ維持に焦点を当てたサイバーセキュリティ戦略です。
• アイデンティティセグメンテーション：アイデンティティセグメンテーションは、アプリケーションやリソースへのユーザーアクセスをアイデンティティに基づいて制限する方法です。
• ITハイジーン：ITハイジーンツールは、組織全体の認証情報の使用を可視化して、潜在的な悪意のある管理者アクティビティを検知します。アカウントモニタリング機能を使用することで、セキュリティチームは、アクセスを維持するために攻撃者が作成したアカウントの存在をチェックできます。また、パスワードの定期的な変更が確実に行われるようになり、盗まれた認証情報を延々と使用されることがなくなります。