Microsoft社が提供するクラウドサービスの統合パッケージ「Microsoft 365」。多くの企業がビジネスで利用するさまざまなツールやサービスを利用でき、業務効率化を図ることができます。...
多要素認証の種類とメリット
ウェブセキュリティの重要な要素である多要素認証について、その種類とメリットについて解説します。
多要素認証とは
多要素認証とは、ユーザーがアカウントにログインする際に、複数の要素を組み合わせて認証を行うセキュリティ機能です。通常、パスワードのような知識情報だけでなく、SMSコードやハードウェアトークン、生体認証などの要素が組み合わせられます。これにより、アカウントのセキュリティレベルを向上させることができます。
多要素認証は、単一の要素だけでなく複数の要素を必要とするため、不正アクセスやパスワードの漏洩などのリスクを低減することができます。
また、多要素認証を利用することで、セキュリティの向上だけでなく、法的要件や規制への適合性も高めることができます。さらに、ユーザーにとって安心感を提供し、アカウントのセキュリティを高めることができます。
(※Microsoftのレポートによればアカウント侵害攻撃の99.9%以上をブロックできるとされている)
知識要素(情報)について
知識要素(情報)とは、その人だけが知っている情報のことです。認証によく使われるIDやパスワードも知識情報です。
知識要素は、シンプルで取り入れやすいため、多くのサービスで本人確認方法として、利用されています。しかし、認証がとてもシンプルであるがためにパスワードが流出してしまうなど、危険性が高く第三者に情報が漏えいした時点でセキュリティが破られる危険性が高いです。
(主な具他例)
- IDとパスワード
- キャッシュカードの暗証番号
- PINコード
- 秘密の質問
- スマートフォンのパターン認証
所有要素(情報)について
所有要素(情報)は、物理的なデバイスを利用して認証を行う方式です。例えば、スマートフォンのSMS認証やアプリ認証、ICチップ付きのカードなどが所有要素の一例です。ユーザーはハードウェアトークンを持ち歩き、認証が必要な場合にデバイスを接続することでアカウントにログインすることができます。
ハードウェアトークンは、パスワードやSMSコードのような情報がオンライン上で漏洩するリスクを低減することができます。デバイス自体が必要なため、第三者がアカウントにアクセスするためには物理的なアクセスが必要となります。また、ハードウェアトークンはセキュリティレベルが高いため、特に高セキュリティが求められる環境で利用されることが多いです。
(主な具他例)
- スマートフォンのSMS認証
- スマートフォンのアプリ認証
- ICチップ搭載カード
- USBトークン
- ワンタイムパスワード
- ボイスコール
生体要素(情報)について
生体認証は、指紋認証や顔認証などの生体情報を利用して認証を行う方式です。ユーザーは自身の生体情報を登録し、認証が必要な場合に生体情報を読み取ることでアカウントにログインすることができます。
生体認証は、ユーザーごとに固有の情報が利用されるため、高いセキュリティを提供することができます。指紋や顔などの生体情報は、他人に簡単になりすまされることが難しいため、第三者がアカウントにアクセスすることが困難になります。
また、生体認証はパスワードやハードウェアトークンと異なり、ユーザーが覚える必要がないため、利便性も高いです。
(主な具他例)
- 指紋認証
- 顔認証
- 静脈認証
- 網膜認証
- 虹彩認証
多要素認証を導入するメリット
多要素認証のメリットは以下の通りです。
メリット1: セキュリティの強化 → 複数の要素を組み合わせることでアカウントのセキュリティを向上させます。
メリット2:リスクの低減 → 不正アクセスやパスワードの漏洩などのリスクを低減することができます。
メリット3:法的要件や規制への適合性 → 多要素認証を利用することで、法的要件や規制への適合性を高めることができます。
メリット4:ユーザーの安心感→ 多要素認証を利用することで、ユーザーに安心感を提供することができます。
メリット5:利便性の向上→ パスワードやハードウェアトークンのように覚える必要がないため、利便性が向上します。
Microsoft Azureでの多要素認証
Microsoft Azureでの多要素認証は、次の通りです。
- Windows Hello for Business
- 会社用PCのPINまたは生体認証でサインインを行う手法
- Microsoft Authenticator
- アプリをダウンロードしスマートフォンのPINまたは生体認証でサインインを行う手法
- FIDO2 セキュリティキー
- セキュリティキーを差し込みPINコードを入力してサインインを行う手法
- SMS/音声
- 登録した電話番号にSMSまたは音声メッセージで送られてくるワンタイムパスワードを使う手法
よく利用されている認証は、「Windows Hello for Business」と「Microsoft Authenticator」です。