多要素認証（MFA）の意味とその仕組み

多要素認証（MFA）は、アプリケーション、オンラインアカウント、VPNなどのリソースへのアクセスを許可する前に、ユーザに2つ以上の認証要素の提供を求める認証方法です。MFAは、強力なIDおよびアクセス管理（IAM）ポリシーのコアコンポーネントです。MFAは、ユーザ名とパスワードだけでなく、1つ以上の追加の検証要素を要求します。これにより、サイバー攻撃が成功する可能性を小さくできます。

MFAの主な利点は、単なるユーザ名とパスワード以上の方法でユーザの本人確認を求めることで、組織のセキュリティを強化することです。ユーザ名とパスワードは重要ですが、ブルートフォース攻撃に対して脆弱であり、第三者に盗まれる可能性があります。親指の指紋や物理的なハードウェアキーといったMFA要素の使用を強制することで、組織はサイバー犯罪から安全に守られているという自信を高めることができます。

MFAは、追加の検証情報（要素）を要求することで機能します。ユーザに求められる最も一般的なMFA要素の1つは、ワンタイムパスワード（OTP）です。OTPは、多くの場合、Eメール、SMS、またはその他の種類のモバイルアプリを介してユーザが受信する4～8桁のコードです。 OTPでは、新しいコードが定期的に、または認証リクエストが送信されるたびに生成されます。コードは、ユーザが初めて登録したときにユーザに割り当てられたシード値と、その他の要素に基づいて生成されます。その他の要素は、増加していくコード発行回数や時間値といった、単純なもので可能です。

ほとんどのMFA認証方法は、次の3種類の追加情報に基づいています。

1. パスワードやPINなど、ユーザが知っていること（知識）
2. バッジやスマートフォンなど、ユーザが持っているもの（所有）
3. 指紋や音声認識といった身体的特徴など、ユーザの特性（生得）

多要素認証では、次のなどの要素の組み合わせを使用して認証します。

知識

• 個人的なセキュリティ質問への答え
• パスワード
• OTP（知識と所有の両方に分類される可能性があります。OTP自体は知識ですが、取得するにはスマートフォンなどを所有している必要があります）

所有

• スマートフォンアプリによって生成されたOTP
• テキストメッセージまたはEメールを介して送信されたOTP
• アクセスバッジ、USBデバイス、スマートカードまたはフォブ、セキュリティキー
• ソフトウェアトークンおよび証明書

生得

• 指紋、顔認識、音声、網膜または虹彩スキャン、その他の生体要素
• 行動分析

MFAが機械学習と人工知能（AI）を統合するにつれて、認証方法は、次のようにさらに高度になっています。

場所ベース

通常、場所ベースのMFAはユーザのIPアドレスを調べ、可能な場合は地理的場所も確認します。この情報を使用して、ユーザの場所情報がホワイトリストで指定されているものと一致しない場合に、ユーザのアクセスをブロックすることができます。また、ユーザのIDを確認するために、パスワードやOTPなどの要素に加えて追加の認証形式として使用することもできます。

適応型認証（リスクベース認証）

MFAには適応型認証という種類もあり、これはリスクベース認証とも呼ばれます。適応型認証は、認証時にコンテキストと行動を考慮して追加要素を分析し、多くの場合、これらの値を使用してログイン試行に関連するリスクレベルを割り当てます。次などを考慮します。

• ユーザはどこから情報にアクセスしようとしたか?
• いつ会社の情報にアクセスしようとしたか? 通常の時間帯か、「勤務時間外」か?
• ��のような種類のデバイスが使用されたか? 昨日使用したものと同じデバイスか?
• 接続はプライベートネ��トワークを介したか、パブリックネットワークを介したか?

リスクレベルは、これらの質問の回答に基づいて計算され、ユーザに追加の認証要素の提供を求めるかどうか、またはログインを許可するかどうかを決定するために使用できます。このため、この種類の認証を指すのに、リスクベース認証という用語が使用されています。

適応型認証を導入している場合、ユーザが深夜にカフェからログイン（ユーザが通常行わない行動）すると、ユーザ名とパスワードの提供に加えて、ユーザのスマートフォンにテキストメッセージで送信されたコードを入力するように求められる場合があります。一方、毎朝9時にオフィスからログインする場合は、ユーザ名とパスワードの入力だけが要求されます。

サイバー犯罪者は、人生を費やして情報を盗もうとしており、効果的で強制的なMFA戦略は、そのような犯罪から組織を守るための防御の最前線になります。効果的なデータセキュリティ計画は将来、組織の時間とお金の節約になるのです。

MFAは2要素認証（2FA）と同じ意味で使用されることがよくありますが、2FAは基本的にMFAのサブセットです。2FAは要求される要素の数を2つに限定するのに対し、MFAはそれ以上にできるからです。

クラウドコンピューティングの出現と共に、MFAの必要性がさらに増しています。企業がシステムをクラウドに移行すると、セキュリティ要素として、ユーザが物理的にシステムと同じネットワークにいることに頼れなくなります。システムにアクセスする人が悪意のある人物ではないことを確認するために、追加のセキュリティを導入する必要があります。ユーザは、いつでもどこからでもシステムにアクセスしてくるので、MFAは、追加の認証要素を要求することで本人確認を行います。これにより、ハッカーがなりすましたり、ブルートフォース攻撃を使用したりして侵入するのが困難になります。

多くのクラウドベースのシステムは、AWSやMicrosoftのOffice 365製品のような独自のMFA製品を提供しています。Office 365は認証システムとして、デフォルトでAzure Active Directory（AD）を使用します。これにはいくつかの制限があります。例えば、使用できる追加の認証要素には、Microsoft Authenticator、SMS、音声、およびOauthトークンという4つの基本オプションしかありません。また、利用可能にするオプションの種類や、MFAを使用する必要があるユーザを正確に制御するかどうかによって、ライセンス料が高額になる可能性があります。

OneLoginなどのIDaaS（Identity as a Service）ソリューションは、強力な認証要素に関してより多くのMFA認証方法を提供し��おり、Microsoftエコシステム外のアプリケーションとより簡単に統合できます。