お役立ちコラム
MFA(多要素認証)とは?パスワード認証の限界から分かる導入メリットと方式選定・運用のポイント
はじめに
パスワードだけでアカウントを守る時代は終わりつつあります。攻撃手法が高度になるなかで、MFA(多要素認証)は個人にも組織にも欠かせない防御策となっています。
この記事では、MFAの基本的な仕組みから各方式の違い、フィッシング耐性、そして導入・運用で押さえるべきポイントまでを順に解説します。認証の強度を高めるために、どの要素をどう組み合わせるかを見ていきましょう。
MFA(多要素認証)の定義と基本的な仕組み
MFA(多要素認証)とは、デジタルサービスへのログイン時に、種類の異なる本人確認の証拠を2つ以上組み合わせて提示させる認証方法です。パスワードに加えて別の確認要素を求めることで、仮にパスワードが漏れても第三者がアカウントを乗っ取ることを大幅に難しくします。NIST SP 800-63Bでは、認証とは「デジタルIDを主張するために使用される1つ以上の認証器の有効性を判定するプロセス」であり、対象者がその秘密を管理下に置いていることを確立する行為と定義しています(参照*1)。
多要素認証の強みは、異なるカテゴリの要素を掛け合わせる点にあります。パスワードだけなら盗まれれば終わりですが、別カテゴリの要素が加わると、攻撃者は両方を同時に突破しなければなりません。この仕組みを正しく理解するために、まず認証の三要素と、混同されやすい二段階認証との違いを確認します。
認証の三要素(知識・所持・生体)
多要素認証を支える土台は「知識」「所持」「生体」の3カテゴリです。知識要素は本人だけが知っている情報で、パスワードやPINが該当します。所持要素は本人が物理的に持っている物で、スマートフォンやセキュリティキーが代表例です。生体要素は指紋や顔など本人の身体的な特徴を指します。米国連邦政府のID管理指針では、認証要素を「知っているもの」「持っているもの」「あなた自身であるもの」の3種類に分類し、すべての認証器は少なくとも1つの認証要素を持つと説明しています(参照*2)。
多要素認証では、このうち異なるカテゴリから2つ以上を組み合わせます。たとえばパスワード(知識)とスマートフォンへのプッシュ通知(所持)を使えば、2種類の要素をまたいだ認証になります。同じカテゴリを2つ使う場合、たとえばパスワードと秘密の質問はどちらも知識要素であり、多要素認証には該当しません。自組織でどの要素を採用するかを検討する際は、この3分類のどれに当たるかを確認してください。
MFAと二段階認証(2SV)の違い
MFAと二段階認証(2SV)は日常的にはほぼ同じ意味で使われますが、厳密には異なる概念です。MFAは「異なるカテゴリの認証要素を複数使う」ことが定義されています。一方、二段階認証はログイン手順が2ステップに分かれていることを指す用語で、要素のカテゴリが異なるかどうかは問いません。Google Cloudのドキュメントでは、MFAを二段階認証(2SV)とも呼びつつ、パスワードに加えて別の本人確認の証拠を要求する仕組みだと説明しています(参照*3)。
気を付けたいのは、認証段階が2つ以上あるだけでは安全性が十分とは限らない点です。パスワード入力のあとに秘密の質問を求める形式は二段階ですが、いずれも知識要素であり、多要素認証の強度には達しません。サービスの設定画面で「2段階認証」と表示されている場合でも、追加される要素が所持や生体に分類されるかどうかを確かめることが、強度を見極める第一歩になります。
パスワード認証の限界とMFAが求められる背景
多要素認証が必要とされる背景は、パスワード単体の脆弱さと、攻撃手法の進化にあります。ここでは、パスワード認証が抱えるリスクと、MFAがそのリスクをどの程度低減できるかを具体的に見ていきます。
パスワード単体が抱えるリスク
パスワードは最も普及している認証手段ですが、同時に最も弱い認証要素でもあります。カナダ連邦政府の多要素認証ガイドラインでは、弱く管理の甘いパスワードを「認証要素の中で最も脆弱な形態」と位置づけています。さまざまな悪用や攻撃の影響を受けやすく、ユーザーが認証要素を単独で適切に管理しているか、あるいは侵害されていないかをほとんど確認できないと指摘しています(参照*4)。
さらに、攻撃者はパスワードだけを狙っているわけではありません。米国連邦政府のID管理に関するプレイブックによると、フィッシングは依然として認証情報を盗みネットワークへ侵入する主要な手口であり、近年はOTPコードやプッシュ通知を使ったフィッシングにまで手法が進化しています(参照*2)。パスワードの使い回しや短い文字列での運用が続く限り、総当たり攻撃や資格情報の流出からアカウントを守ることは困難です。自組織のパスワード運用がどの程度のリスクにさらされているかを洗い出すことが、MFA導入の出発点になります。
MFA導入による不正アクセス低減効果
MFAを導入すると、不正アクセスのリスクは劇的に下がります。大手クラウドサービス事業者が公開した研究では、調査期間中にMFAを導入したアカウントの99.99%以上が安全を保ったという結果が報告されています。さらに同研究は、MFAが全体の集団での侵害リスクを99.22%、資格情報が流出したケースでも98.56%低減すると示しました(参照*5)。
この数値は、パスワードだけの認証と比べて圧倒的な差です。仮にパスワードが漏洩した場合でも、所持要素や生体要素が壁として機能し、攻撃者の侵入を食い止めます。自組織でMFA未導入のアカウントがどれだけ残っているかを把握し、優先度の高いシステムから順に適用範囲を広げる計画を立てることが、被害を減らす具体的な一歩です。
MFA方式の種類と比較
多要素認証にはさまざまな方式があり、それぞれ利便性と安全性のバランスが異なります。ここでは代表的な方式を3つの観点から比較し、どのような特徴と弱点があるかを整理します。
SMS・音声OTPとソフトウェアOTPアプリ
SMSや音声通話でワンタイムパスワード(OTP)を受け取る方式は、最も広く使われているMFAの入り口です。ただし安全性には限界があります。カナダ連邦政府のガイドラインは、SMSはアウトオブバンド認証の1つとして技術的には認められるものの、SS7プロトコルの弱点やSIMジャッキングといった脆弱性が広く知られていると指摘しています。そのためSMSはLoA 3とはみなされず、強力なパスワードよりも若干劣るとされ、第二要素としての使用は推奨されていません(参照*4)。
一方、スマートフォンにインストールする専用OTPアプリはSMSより安全性が高いと評価されています。前述の大手クラウドサービス事業者の研究でも、専用のMFAアプリはSMSベースの認証よりも優れていることが実証されており、いずれの方法もMFAを使用しない場合と比較して大幅にセキュリティが向上するとしています(参照*5)。現在SMSのみで運用している場合は、OTPアプリへの移行を検討対象に加えてください。
プッシュ通知(番号照合あり・なし)
プッシュ通知方式は、ログイン操作をすると登録済みのスマートフォンに承認要求が届き、タップするだけで認証が完了する仕組みです。OTPを手入力する手間がなく、利便性が高い方式として広まりました。ただし、単純に「承認」ボタンを押すだけの設計には落とし穴があります。
攻撃者がフィッシングで取得したパスワードを使って繰り返しログインを試みると、被害者のスマートフォンに承認通知が何度も届きます。疲れて誤って承認してしまう「MFA疲れ攻撃」と呼ばれる手口です。米国連邦政府のID管理プレイブックも、攻撃者がプッシュ通知を悪用する手口にまで手法が進化していると警告しています(参照*2)。この対策として、ログイン画面に表示された番号をスマートフォン側で選択させる「番号照合」付きのプッシュ通知が登場しています。番号照合があると、攻撃者はリアルタイムで画面を見ない限り正しい番号を選べないため、単純な承認タップだけの方式より安全性が高まります。
FIDO2セキュリティキーとプラットフォーム認証器
FIDO2は、公開鍵暗号を使った認証の国際規格です。大きく2種類の認証器に分かれます。米国連邦政府のID管理プレイブックでは、プラットフォーム認証器をデバイスに組み込まれた安全な実行環境を介して提供される認証器と定義しており、Windows Hello for Businessを例に挙げています。もう一方のローミング認証器は、USBやNFC経由でクライアントデバイスに接続できるハードウェアベースの認証器であり、YubicoのYubiKey、IdentivのuTrust、RSAのDS-100、Google Titanなどが具体例です(参照*2)。
FIDO2方式の最大の特徴は、秘密鍵がデバイスの外に出ない点にあります。OTPやパスワードなど知識要素の手動入力を伴う認証器はフィッシング耐性があるとはみなされないのに対し、公開鍵暗号を用いる認証器はフィッシングや認証情報攻撃に対してより強固であると同プレイブックは明記しています。PINを使ってデバイス内の鍵を解除することは、パスワードで認証情報を送出することとは本質的に異なります(参照*2)。プラットフォーム認証器とセキュリティキーのどちらを採用するかは、対象デバイスの管理状況や利用シーンに応じて判断します。
フィッシング耐性MFAと認証保証レベル(AAL)
MFA方式を選ぶうえで、もう一段深い基準となるのが「認証保証レベル(AAL)」です。AALは認証の信頼度を段階的に示す枠組みで、どのレベルを目指すかによって選べるMFA方式が変わります。この章では、AALの要件とフィッシング耐性が強く求められる背景を掘り下げます。
NIST SP 800-63BにおけるAAL1〜AAL3の要件
米国国立標準技術研究所(NIST)が公開するSP 800-63Bは、認証保証レベルをAAL1からAAL3の3段階で定めています。AAL2は「申請者がサブスクライバアカウントに紐づく1つ以上の認証器を管理していることについて高い信頼を与える」レベルであり、2つの異なる認証要素の所持と管理の証明を求めます。加えて、AAL2で評価されるアプリケーションはフィッシング耐性を持つ認証の選択肢を提供しなければならないとNISTは規定しています(参照*1)。
最上位のAAL3は、AAL2の要件に加えていくつかの追加条件を設けています。NISTの実装資料によると、最も重要な点はハードウェアベースの認証要素を使用することです。さらに、検証者のなりすまし耐性、検証者の侵害耐性、認証の意図といった特性も求められます(参照*6)。自組織のシステムがどのAALを求められるかを把握し、そのレベルに対応した認証器を選定することが設計の基盤になります。
フィッシング耐性が重視される理由と対応方式
フィッシング耐性とは、偽サイトや中間者攻撃によって認証情報が盗まれることを構造的に防げる性質を指します。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、MFA、とりわけフィッシング耐性MFAはパスワードスプレー、パスワード窃取、フィッシングといった攻撃に対する重要な安全策であるとしています。さらに、組織はOMB M-22-09および同庁の方針に準拠するため、できるだけ早くフィッシング耐性MFA方式へ移行する必要があるとも述べています(参照*7)。
では、どの方式がフィッシング耐性を備えているのでしょうか。カナダ連邦政府のガイドラインは、暗号ハードウェア認証要素について、MFAでなくてもフィッシング耐性と中間者攻撃耐性が本質的に備わっている点を評価し、LoA 2/AAL1の選択肢の中で最も優れていると位置づけています(参照*4)。FIDO2セキュリティキーやプラットフォーム認証器がフィッシング耐性方式の代表例です。自組織のリスク評価に基づき、どのシステムからフィッシング耐性方式を適用するか優先順位を付けて進めてください。
MFA方式の選び方と導入・運用のポイント
技術的な特徴を理解したうえで、次に問われるのは「自組織にどの方式を、どう入れるか」です。万能な認証器は存在しないため、利用場面やリスクに応じた選び方と、導入時につまずきやすいポイントを押さえておく必要があります。
ユースケース別の方式選定基準
方式の選定でまず認識すべきは、すべての認証パターンに対して機能する単一の認証器は存在しないという点です。米国連邦政府のID管理プレイブックは、どの認証器タイプも万能薬ではなく、機関はアクセス例外ポリシーを停止できるような包括的な認証戦略が必要だと述べています。そのうえで、FIDO2のようなプラットフォームネイティブのフィッシング耐性認証を導入し、パスワードやOTPといった最も一般的な例外ポリシーを置換することを推奨しています(参照*2)。
実際の選定では、対象システムのリスクレベル、利用者のデバイス環境、モバイル端末の管理状況などを軸に判断します。CISAも、フィッシング耐性MFAの導入には時間がかかる場合があり、特にモバイルデバイスでは注意が必要だと指摘しています(参照*7)。高リスクの管理者アカウントにはセキュリティキーを、一般利用者にはプラットフォーム認証器やOTPアプリを、といった段階的な割り当てを検討してください。
導入時の注意点と失敗しやすい落とし穴
MFAの導入では、展開スケジュールの見誤りとパスワード運用の放置が典型的な落とし穴です。Google Cloudは、MFA適用のスケジュールをアカウントの種類ごとに分けて公表しています。個人のGoogleアカウントは2025年5月12日以降、エンタープライズ Cloud Identityアカウント(SSOを使用していないもの)は2026年第2四半期中またはそれ以降、連携認証を使用するエンタープライズアカウントは2026年第3四半期中またはそれ以降に適用されます(参照*3)。このように外部サービス側が強制適用のスケジュールを設けるケースが増えており、自組織の準備が間に合わないと業務に支障が出る可能性があります。
もう1つ見落とされがちなのが、MFA導入後のパスワード運用です。CISAはNIST 800-63およびOMB M-22-09に基づき、パスワードに有効期限を設けず長いパスワードを選択させるよう求めています。頻繁なパスワード変更は質の低いパスワード選択やパスワードの使い回しを招くという調査結果を根拠としており、総当たり攻撃への防御として強力なパスワードの使用と使い回しの禁止を掲げています(参照*7)。MFAを入れたからといってパスワードポリシーを緩めてよいわけではなく、認証全体を一貫した方針で管理することが欠かせません。
おわりに
MFA(多要素認証)は、パスワード単体では防ぎきれないリスクを大幅に低減する手段です。認証の三要素の理解、方式ごとの強みと弱み、そしてフィッシング耐性やAALといった評価軸を押さえることで、自組織に合った認証設計の判断材料がそろいます。
すべてのシステムに一度で適用する必要はありません。リスクの高い領域から段階的にフィッシング耐性のある方式を導入し、パスワード運用の見直しも並行して進めてください。
お知らせ
MFAの理解は、ITエンジニアの必須スキルであり、案件選びや求められるスキルを読み解く際の助けになります。業務範囲や必須スキルを確認し、フリーランス向けの最新案件情報も参考にしましょう。
cyseekではフリーランスのITエンジニア向けの案件をご紹介しています。
案件に関する新着情報は、以下のリンクからご覧いただけます。
参照
- (*1) NIST Special Publication 800-63B
- (*2) Phishing-Resistant Authenticator Playbook
- (*3) Google Cloud Documentation – Multi-factor authentication requirement for Google Cloud
- (*4) Guideline on Multi-Factor Authentication
- (*5) Microsoft Research – How effective is multifactor authentication at deterring cyberattacks?
- (*6) Authenticator Assurance Levels
- (*7) Cybersecurity and Infrastructure Security Agency CISA – Google Common Controls
関連記事
-
WAFの仕組みをわかりやすく解説:脆弱性診断との補完関係と導入・運用の要点
はじめに WAFはHTTP通信の内容を詳細に検査し、アプリケーション固有の脅威を食い止める仕組みを持っています。Webサイトやアプリケーションへの攻撃は年々巧妙さを増しており、ネットワーク層の防御だけでは対処しきれない場・・・
-
DDoS攻撃の仕組みと目的をわかりやすく解説:Webサイト運用者・インフラエンジニア向け実践対策ガイド
はじめに:DDoS攻撃はなぜ今も脅威であり続けるのか DDoS攻撃は、複数のコンピューターから大量のアクセスを一斉に送りつけ、Webサイトやサービスを使えなくするサイバー攻撃です。国内では2024年末から2025年初頭に・・・
-
特権ID管理(PAM)の重要性とは?
はじめに 特権ID管理(PAM)は、管理者アカウントなど強い権限を持つIDを、安全に使うための考え方と仕組みです。特権IDは設定変更やデータの持ち出しまでできるため、悪用されると被害が大きくなります。 さらにクラウドや外・・・
-
SIEM(シーム)とは?ログ監視によるサイバー攻撃検知の仕組みと活用メリット
はじめに SIEMは、社内のさまざまな機器やサービスが出す「ログ」を集めて見張り、サイバー攻撃の兆しを早く見つけるための仕組みです。 一方で、SIEMは入れただけで安全になる道具ではありません。集めるログの選び方、時刻の・・・
-
初心者必見!情報セキュリティのリスクアセスメント進め方とは
はじめに 現代のデジタル社会では、企業活動から個人のSNS利用に至るまで、あらゆる場面で重要な情報がやり取りされています。これらの情報を安全に守るためには、情報セキュリティへの意識と具体的な管理体制が必要です。 初めて情・・・