多要素認証

ウィキメディアプロジェクトにおける二要素認証については、「meta:Help:Two-factor authentication/ja」を参照。

多要素認証（たようそにんしょう、英語: Multi-Factor Authentication、英: MFA）は、アクセス権限を得るのに必要な本人確認のための複数の種類の要素（証拠）をユーザーに要求する認証方式である^[1]^[2]。

必要な要素が二つの場合は、二要素認証（にようそにんしょう、英語: Two-Factor Authentication、英: 2FA）、二段階認証（にだんかいにんしょう）とも呼ばれる。

認証に使う要素[編集]

多要素認証に使われる要素には、以下のようなものがある。いずれの要素も、本人だけに属する属性でなければならない。例えばパスワード等は本人だけが知っていなければならず、他人に教え、あるいは知られた時点で認証の前提が崩れる。

規定の複数の要素を満たしたユーザーを本人と認証する。ここで要素が単一の種類になってしまうと、多要素認証の前提が崩れる事となる。

多要素認証は、認証が行われるタイミングについては規定しない。複数の認証は同時に行われる場合もあれば、段階を踏んで行われる場合もある（後述「二段階認証」も参照）。

いずれの要素も、認証の前提が崩れた場合、速やかに権限を（一部）停止する必要がある。

多要素認証は、パスワードクラックなどに対しては強いが、フィッシングや中間者攻撃などに対しては無防備である^[3]^[4]。

知る要素[編集]

一般に「暗証番号（PIN）」や「パスワード」など、認証を行う人物などが認証情報を記憶する形式の認証がこの要素に該当する。

最も一般的に使われる要素で、認証のためにユーザーはある秘密を知っていることを証明する。ほとんどの多要素認証は、要素の一つにこれを使う^[5]。

予め登録したメールアドレスにワンタイムパスワードを送信する方式は、基本的にはこの要素に属する（メールアドレスの受信にメールパスワードを使用するため）。

この要素は、属人的なもっとも基本的な認証と考えられている。

知る要素は、複製耐性につき、人の記憶によるため、それ自体は最も高い（複製は最も難しい）と考えられている。盗む事については、本人を脅迫しない限り困難である。認証デバイスへの入力が必須なため、その際の盗見、盗聴は一般的に容易である。

人の記憶に頼るため、情報の複雑さには限界がある。またしばしば忘れられて、権限再発行手続が必要となる。人の個人的経験に基づいた知る要素として、合言葉がある^[6]。

知る要素は、他人に知られた時点で認証の前提が崩れる。

持つ要素[編集]

一般に「TOTP」や「IDカードによる認証」など、認証を行う人物などが所有しているものを使った認証がこの要素に該当する。

鍵という考え方は古くからあるが、コンピュータシステムではセキュリティトークンとして扱われる。

トークンにはシステムへ接続するか否かで、接続型と非接続型がある。ワンタイムパスワード発生器や、予め登録した携帯電話等によるSMS認証も、この要素に属する。

パスワードも記憶せず何かにメモしていればこの要素に属する。乱数表等（TANを含む）も（全て記憶する事が困難なので）同様である。

持つ要素は、複製耐性によりセキュリティレベルが変化する。ハードウェアトークンによるワンタイムパスワード発生器や、ICカードは一般的に複製が難しいと考えられている。ソフトウェアトークンは容易に複製される場合もある。パスワードのメモや乱数表等は、カメラで撮影するだけで取得できる^[7]。磁気カードはスキミングだけで取得できる。一般的に、持つ要素に接触できればそれを盗む事は容易である。非接続型のトークンで、ワンタイムパスワードなどのように一旦表示して認証装置に入力する必要があるもの等は、その際の盗見、盗聴が容易である。

持つ要素は、複製され、または盗まれると認証の前提が崩れる。

備える要素[編集]

一般に「指紋認証」「顔認証」「網膜認証」など、認証を行う人物の身体的特徴を利用した認証がこの要素に該当する。

指紋や虹彩、声紋などの生物学的な要素でユーザー本人を生体認証する。タイピング認証も一種の生体認証である。一長一短はあるが、比較的信頼度が高いと考えられている一方で、誤認識の確率も一定程度残る^[8]。

備える要素は、その種類により複製耐性が異なる。音声や外貌、身体認証は複製が容易なため複製検知技術が重要となる。指紋、網膜、虹彩、血管や体臭認証も、複製できる場合もある。盗む事については、本人を脅迫しない限り困難である。仕組み上、生体認証は盗見、盗聴はほぼ不可能である。

備える要素は、複製されにくいが、複製された場合には認証の前提が崩れる。

二段階認証[編集]

一般的に、二段階認証、2ステップ認証とは、パスワードやPINなど「知る要素」と、もう1つの別の要素を組み合わせたものである。まず最初にパスワード等で認証を行い、それを通過した場合に別の要素により認証を行うと言う、段階（ステップ）を踏んで行われる認証である。3つ以上の段階に渡る場合は多段階認証と言う。

これは「段階」に着目したものであるため、必ずしも二要素認証または多要素認証となっていない場合もある（例として、登録メールアドレスへのワンタイムパスワード送信）。

二段階認証において、2つ目の要素には、オフラインでユーザー宛に送付された情報や、ソフトウェアトークン（乱数発生アプリ）などが一般的に使われる。携帯電話等へのSMS認証も同様である^[9]。

事例[編集]

金融機関[編集]

例えば、ATMの場合は、キャッシュカード（または口座通帳）が「持つ要素」であり、暗証番号は「知る要素」である。21世紀に入り、生体認証などの「備える要素」を第三の要素とするATMの事例も増えてきている。オンラインバンキングなどでは、パソコンやスマートフォンの生体認証を多要素認証として使っている場合もある。

2020年12月の時点で、金融庁の調査では、スマートフォンなどでのキャッシュレス決済を手がける金融機関の3割が多要素認証を導入しておらず、セキュリティ上の問題があるため、2020年度中に多要素認証の義務化を導入する予定^[10]。

パソコンにおける二要素認証[編集]

旧来はパスワードによる一要素認証が主流であったが、ネットワークにおける使用ではパスワード漏洩や使い回し、ハッシュの高速解読など種々の問題が生じたため、2010年後半から、使用するコンピュータだけに属する（持つ要素）PIN（知る要素）の組み合わせが主流となり始めている（Windows 10など）。ネットワークにおいてパスワードだけの一要素認証は安全性が低いものと見られ始めている。更に、Windows Hello^[11] や Touch ID など顔認証・指紋認証（備える要素）も普及が進んでいる。

携帯電話・スマートフォンによる二要素認証[編集]

スマートフォンでは Android 生体認証システム^[12]や Apple Touch ID や Face ID など生体認証（備える要素）による二要素認証の普及が進んでいる。

認証のため新たに何か（セキュリティトークンなど）を所持することは、紛失や盗難の危険、加えてその管理自体にコストが掛かるという問題がある。しかし携帯電話・スマートフォンをこの認証に使えば、追加で専用機を持つ必要がなくなり、肌身離さず持ち歩きやすい。ただし実際に盗難にあってしまうとより大きな被害に遭う可能性ができてしまう。

ウェブブラウザ[編集]

ウェブブラウザではW3C Web Authenticationにて生体認証や外部セキュリティキーなどによる多要素認証に対応している。主要なウェブブラウザはWeb Authenticationに対応している。例えばYahoo! JAPANで使用されている^[13]。

脚注[編集]

^ “Two-factor authentication: What you need to know (FAQ) - CNET”. CNET. 2015年10月31日閲覧。
^ “How to extract data from an iCloud account with two-factor authentication activated”. iphonebackupextractor.com. 2016年6月8日閲覧。
^ Brian Krebs (2006年7月10日). “Security Fix - Citibank Phish Spoofs 2-Factor Authentication”. Washington Post. 2016年9月20日閲覧。
^ Bruce Schneier (2005年3月). “The Failure of Two-Factor Authentication”. Schneier on Security. 2016年9月20日閲覧。
^ “Securenvoy - what is 2 factor authentication?”. 2015年4月3日閲覧。
^ 過去の個人情報の秘密度によりセキュリティレベルが変わる
^ 分厚い本のような乱数表等は、時間が掛かるかも知れない。
^ Biometrics for Identification and Authentication - Advice on Product Selection Archived 2013年9月27日, at the Wayback Machine.
^ “Two-Step vs. Two-Factor Authentication - Is there a difference?”. Information Security Stack Exchange. 2018年11月30日閲覧。
^ 【独自】金融機関の３割「多要素認証」せず…金融庁が義務付けへ : 経済 : ニュース : 読売新聞オンライン
^ Windows Hello の概要とセットアップ
^ 生体認証システム | Android オープンソースプロジェクト | Android Open Source Project
^ Yahoo! JAPANでの生体認証の取り組み（FIDO2サーバーの仕組みについて） - Yahoo! JAPAN Tech Blog

外部リンク[編集]

ウィキペディアの姉妹プロジェクトで「多要素認証」に関する情報が検索できます。
	ウィクショナリーの辞書項目
	ウィキブックスの教科書や解説書
	コモンズでメディア
	ウィキバーシティの学習支援
	ウィキデータのデータ

RSAサーバ攻撃で盗まれた情報を悪用されると、従業員4000万人が使用する2要素認証トークンのセキュリティ侵害の可能性（英語） (register.com, 2011年3月18日)
銀行で2006年末までに2要素認証システム導入へ（英語） (slashdot.org, 2005年10月20日)
人気サイトと2要素認証システムの採用状況一覧（英語）
マイクロソフトがパスワード廃止か、マ社はWindows 更新版でパスワード廃止と2要素認証システム採用に向かうか（英語） (vnunet.com, 2005年3月14日)

[1] “Two-factor authentication: What you need to know (FAQ) - CNET”. CNET. 2015年10月31日閲覧。

[2] “How to extract data from an iCloud account with two-factor authentication activated”. iphonebackupextractor.com. 2016年6月8日閲覧。

[3] Brian Krebs (2006年7月10日). “Security Fix - Citibank Phish Spoofs 2-Factor Authentication”. Washington Post. 2016年9月20日閲覧。

[4] Bruce Schneier (2005年3月). “The Failure of Two-Factor Authentication”. Schneier on Security. 2016年9月20日閲覧。

[5] “Securenvoy - what is 2 factor authentication?”. 2015年4月3日閲覧。

[6] 過去の個人情報の秘密度によりセキュリティレベルが変わる

[7] 分厚い本のような乱数表等は、時間が掛かるかも知れない。

[8] Biometrics for Identification and Authentication - Advice on Product Selection Archived 2013年9月27日, at the Wayback Machine.

[9] “Two-Step vs. Two-Factor Authentication - Is there a difference?”. Information Security Stack Exchange. 2018年11月30日閲覧。

[10] 【独自】金融機関の３割「多要素認証」せず…金融庁が義務付けへ : 経済 : ニュース : 読売新聞オンライン

[11] Windows Hello の概要とセットアップ

[12] 生体認証システム | Android オープンソースプロジェクト | Android Open Source Project

[13] Yahoo! JAPANでの生体認証の取り組み（FIDO2サーバーの仕組みについて） - Yahoo! JAPAN Tech Blog

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]