多要素認証とは?
多要素認証(MFA)とは
認証の3要素である「記憶」「所持」「生体」のうち、複数を組み合わせて認証することを多要素認証(MFA:Multi-Factor Authentication)といいます。
複数の要素を組み合わせることで、第三者からの不正ログインを防止し、セキュリティを強化することができます。
■認証の3要素
「記憶」の認証
認証を行うユーザーのみが知っている情報を利用して行う認証
●ユーザーが使い慣れた認証方式であり、導入が容易である
●パスワード管理の負担が大きく、セキュリティ強度はユーザーのリテラシーに依存
●複雑なパスワード(長い、複雑な文字の組み合わせ)を要求すると、ユーザーはメモを見えるところに貼ってしまうなど、逆にセキュリティ強度が下がってしまう
「所持」の認証
認証を行うユーザーのみが所持している情報(物理的なモノやデータ)を利用して行う認証
●モノを持っていれば認証できるため分かりやすい
●紛失や盗難に弱く、配布や故障時の交換に手間がかかる
●電子証明書のインストール、機体番号やMACアドレスでの制限など、管理の手間がかかる
「生体」の認証
認証を行うユーザーのみに備わっている身体的特徴(指紋、虹彩、顔の特徴)など利用して行う認証
●記憶やモノの所持が不要であるためユーザーの負担が低く、利便性が高い
●読み取りセンサーなどの専用機器が必要でコストがかかる
●読み取りに失敗しやすい
●失敗時には記憶の要素で代替する必要があり、暗証番号(PIN)が用いられることが多く認証強度が下がる
認証の3要素におけるデメリットを克服
「記憶」の認証
マトリクス認証
マトリクス認証は、乱数表の文字列から記憶した形に当てはまる数字を入力する「ワンタイムパスワード方式」であり、「記憶」の認証に分類されます。パスワードや暗証番号(PIN)のデメリットを克服した、長いパスワードでも覚えやすく忘れにくい強固な「記憶」の認証です。
※一般的なハードトークンやソフトトークンを利用したOTPは「所持」の認証に分類されます。
「所持」の認証
デバイス認証
SECUREMATRIXのデバイス認証(ワンタイム身分証方式)は、電子証明書として機能しますが、サインインの度に新しい身分証を生成するため、万一身分証の情報を不正に搾取されたとしても、第3者からの不正アクセスを防ぐことができます。
他の「所持」の認証に比べて、アプリのインストールや証明書の初期配布などが不要で、紛失・盗難時にも再配布の手間がないという特長があります。
「生体」の認証
パスキー認証
SECUREMATRIXの生体認証は、FIDO2に準拠したパスキーを利用するパスワードレスの認証です。デバイスに標準装備されているWindows
Helloなどの認証器や外付型の認証器を利用して認証を行えます。PCデスクトップへのサインインだけでなく、インターネットアクセスでも生体認証を行えます。
強固な記憶の認証であるマトリクス認証と組み合わせることで、「生体」の認証の弱点である暗証番号(PIN)によるセキュリティ強度の低下をカバーすることができます。
2.多要素認証で守る」へ
※パスキー(Passkeys):
認証技術の標準化団体であるFIDO Allianceが制定した、生体情報を用いたパスワードレス認証技術。認証方式としてW3Cと共同で定めた「FIDO2」を用いている。
※FIDO2:
公開鍵暗号を用いたパスワードレス認証方式。生体情報はスマートフォン等のデバイス内だけで使用し、サーバーには送信されないため、安全に生体認証を行うことができる。
近年の認証にまつわる動向
「NIST SP 800-63シリーズ」
NIST(米国国立標準技術研究所)より発行されているNIST SP 800シリーズに日本国内の企業においても注目が集まっています。
NIST SP 800シリーズの中でも、特に関心が高まっているのが「NIST SP 800-63:電子認証に関するガイドライン(Digital Identity Guideline)」です。
デジタル庁が発行する政府情報システムのセキュリティガイドラインなどで数多く参照されています。
「NIST SP 800-63」
NISTによる電子認証に関するガイドラインで、以下の分冊があります。
認証のセキュリティ保証レベル(AAL:Authenticator Assurance Level)
NIST SP 800-63では、以下のAAL 1 ~ AAL 3の三段階で定義されています。
・ガイドラインで認められた暗号技術、2要素の認証を必要とする。
・セキュアな認証プロトコルを介して確実に当人が認証を行っているということを証明するものとする。
ID・パスワード管理の課題
ユーザーの管理負担が大きく、漏洩による被害も広がっているID・パスワードによる認証ですが、「NIST SP
800-63B」で基本とされているのは「記憶」の認証であり、多要素認証の組み合わせのひとつとして重要な認証要素であることに変わりはありません。
フィッシング攻撃による被害が後を絶たず、ダークウェブ内で非常に安価にID・パスワードが売買されている現状において、ID・パスワードの管理は、ますます重要度を増しています。
■ID秘匿化の重要性
「記憶」の認証では「ID」も重要な記憶情報のひとつであり、「ID」を秘匿化することでフィッシングなどのサイバー攻撃への耐性を上げる効果も期待できます。
ID秘匿化によるフィッシング耐性強化
特許技術「ステルスID」方式により、ワンタイムパスワードにIDや属性情報を自動挿入します。通信経路上に直接ID情報を流さず、盗み見や通信傍受などを防ぎ、安全に認証を行うことができます。
ユーザーは、最初にID登録を行えば、ワンタイムパスワードを入力するだけで、ユーザーが意識することなく、本人認証とデバイス認証を行うことができます。
ID秘匿化
4.特許技術で守る」へ
■パスワード管理における課題
政府機関をはじめ、パスワードに関するガイドラインが数多く発行されており、特にパスワードの長さや文字構成(大文字、小文字、記号など)に関してのルールに一貫性がありませんが「NIST SP
800-63B」では以下の表のような要件が記載されています。
パスワード管理が限界と言われパスワードレスが注目されているものの、ID・パスワードによる認証は広く利用されており、パスワードの管理は依然として重要な課題です。
| 項 目 | NIST SP 800-63Bの要件 |
|---|---|
| パスワードの選択 | ●ユーザー自身による選択もしくは認証サービスからランダムに割り当てる |
| パスワードの長さ |
●少なくとも8文字 ●認証サービスは最低でも64文字以上を許容する |
| パスワードの文字構成 |
●認証サービスはすべての印刷可能ASCII文字と空白文字、Unicode文字を許容する ●異なる文字種の混合などのルールは課さない |
| 受け付けを拒否するパスワードの例 |
●侵害事例のあるパスワード ●辞書に存在する単語 ●文字の反復や連続(’aaaaaa’、’1234abcd’など) ●サービス名、ユーザー名など文脈から特定されるもの |
| その他のルール |
●認証時に参照できるヒントや、秘密の質問は使用しない ●同一ユーザーによる連続失敗の回数を100回以下に制限する ●ユーザーからの要求やセキュリティ侵害の証拠がある場合を除き、恣意的な変更(定期的な変更など)を要求しない ●有効期限が切れたものを認証に使用してはならない(有効期限の設定は任意) |
柔軟なパスワードポリシー
設定が可能
柔軟なパスワードポリシーの設定が可能。パスワードは利用者ごとに設定。パスワードポリシーに応じて、「最低パスワード文字数」「ワンタイムパスワードと固定文字の組み合わせ」など、様々な設定が可能です。また、「利用時間の制限」などのアクセス制御設定を行うことも出来ます。
複数の設定項目を組み合わせることで、「初期パスワードは管理者が指定、初回認証後はユーザー設定のワンタイムパスワードに強制変更」といった設定を行うことができます。
■パスワードレス時代の認証にまつわる課題
流行の兆しを見せつつあるパスワードレス認証ですが、生体情報特有の認識率の低さや盗難に弱いという弱点も抱えています。「NIST SP 800-63B」では、生体の要素は単独では認証に利用できず記憶または所持の要素との組み合わせが必要となっており、生体情報の読み取りに失敗した場合は、記憶の要素で代替することが求められています。主に固定パスワードや暗証番号(PIN)が利用されますが、生体認証で守られたデバイスが盗難されショルダーハッキングなどで知った暗証番号(PIN)を突破するだけでアカウントが乗っ取られる、という事件も実際に発生しています。このような背景から、生体認証やパスキー認証も万全ではなく、認証要素を組み合わせた多要素認証の確立が重要課題となっています。
3要素の組み合わせを選択し、
環境に合わせた多要素認証を
実現
自社や組織の環境に合わせて、3要素すべての利用や「マトリクス認証+パスキー認証」、「デバイス認証+パスキー認証」、「マトリクス認証+デバイス認証」など多要素認証を組み合わせることができるようになりました。
「SECUREMATRIX V13におけるアップデート」へ