多要素認証(MFA:Multi-Factor Authentication)とは、種類の異なる認証要素を2つ以上組み合わせて本人確認を行う仕組みです。パスワードだけの認証は漏えいや使い回しに弱く、これ一つでは突破されやすいのが実情です。MFAは「パスワードを知っているか」に加えて「本人のスマホを持っているか」「本人の指紋か」といった別の要素を重ねることで、たとえパスワードが盗まれても、もう一段の壁で不正ログインを食い止めることを狙います。
本記事は、MFAという言葉は聞くものの中身を改めて整理したい情シス担当者に向けて、基本の仕組みから実務での落とし穴までをまとめたものです。
この記事でわかること
- 多要素認証(MFA)の定義と、3つの認証要素の中身
- 「二段階認証」「二要素認証」との違い
- MFAでも突破されるケース(MFA疲労攻撃・フィッシング)と、その背景
- 情シスが導入・運用で押さえるべき勘所
なぜ今、多要素認証が重視されるのか
背景はシンプルで、パスワード単独の認証が限界を迎えているからです。フィッシングで詐取されたり、どこかのサービスから漏えいしたパスワードが使い回しによって別サービスでも試される(パスワードリスト攻撃)など、「知っているだけ」の要素は奪われやすくなっています。
そのため公的な指針でも、MFAは基本対策として明確に位置づけられています。内閣サイバーセキュリティセンター(NISC)と情報処理推進機構(IPA)がまとめる「インターネットの安全・安心ハンドブック」やサイバーセキュリティ対策の基本でも、多要素認証の利用は繰り返し推奨されています。米国のNIST(米国立標準技術研究所)が示すデジタルアイデンティティのガイドライン(SP 800-63 シリーズ)でも、認証の確からしさを高める管理策としてMFAが整理されています。クラウドサービスや業務システムの管理者アカウントでは、MFAの有効化が事実上の必須要件になりつつあります。
多要素認証の仕組み:3つの認証要素
MFAの「要素」とは、本人確認に使う情報の種類のことです。代表的なものは次の3つに分類されます。
| 要素の種類 | 意味 | 具体例 |
|---|---|---|
| 知識情報(Something you know) | 本人だけが知っているもの | パスワード、PINコード、秘密の質問 |
| 所持情報(Something you have) | 本人だけが持っているもの | スマートフォン(認証アプリ・SMS)、ハードウェアトークン、ICカード、FIDOセキュリティキー |
| 生体情報(Something you are) | 本人の身体的特徴 | 指紋、顔、虹彩 |
MFAでは、これら異なる種類の要素を2つ以上組み合わせます。ポイントは「種類が違う」ことです。たとえばパスワードと秘密の質問はどちらも知識情報なので、2つ使っても多要素にはなりません。攻撃者が一つの手口(例:フィッシング)でまとめて奪えてしまうからです。パスワード(知識)+スマホのワンタイムコード(所持)のように、奪う手口が異なる要素を重ねることに意味があります。
二段階認証・二要素認証とは何が違うのか?
結論からいえば、二要素認証(2FA)はMFAの一種で、要素をちょうど2つ使うものを指します。一方「二段階認証」は、認証を2回のステップに分ける方式を指す言葉で、必ずしも要素の種類が異なるとは限りません。
たとえば「パスワードを入れた後、もう一つ別のパスワードを入れる」のは二段階ですが、どちらも知識情報なので多要素ではありません。日常会話ではほぼ同義で使われますが、厳密には「段階(ステップ数)」と「要素(種類)」は別の概念だと押さえておくと、製品仕様を読むときに迷いません。
MFAを入れても突破される?知っておくべき手口
MFAは強力ですが「入れれば絶対安全」ではありません。攻撃側もMFAを前提に手口を進化させています。情シスとして特に知っておきたいのが次の2つです。
MFA疲労攻撃(プッシュ通知爆撃)とは?
MFA疲労攻撃(MFA Fatigue/push bombing)とは、すでにパスワードを入手した攻撃者が、認証アプリのプッシュ通知(「ログインを承認しますか?」)を何度も送りつけ、ユーザーがうんざりして、あるいは勘違いして「承認」を押してしまうのを狙う手口です。技術ではなく人の心理の隙を突く点が特徴で、Uberなど大手企業の侵害事例でも使われたと報じられています。プッシュ承認型のMFAを使っている組織は注意が必要です。
対策としては、ワンタイムコードの手入力や、画面に表示された数字を入力させる「番号マッチング」方式に切り替える、心当たりのない通知は承認せず情シスに連絡するよう周知する、といった運用が有効です。
中間者型フィッシングによるセッション乗っ取り
SMSや認証アプリのワンタイムコードは、偽サイトを経由してリアルタイムに窃取(中間者型フィッシング)されると、コードごと盗まれてしまう弱点があります。正規サイトそっくりの偽ページが、利用者の入力したコードをそのまま本物のサイトへ中継し、発行されたセッション情報を奪う——という攻撃です。SMSや通常のワンタイムコードは「要求元が本物かどうか」を確認できないため、こうした手口に弱いのです。
これに対し、要求元のドメインを技術的に検証するフィッシング耐性のあるMFAが注目されています。代表例がFIDO2/パスキーで、認証情報が正規ドメインに結び付くため、偽サイトでは認証が成立しません。経済産業省が関わるサプライチェーン領域の評価制度などでも、レベルに応じてフィッシング耐性のあるMFAが求められる流れにあります。
情シスはMFAをどう導入・運用すべきか
導入で迷ったら、まずは公的機関の指針に沿って優先順位を付けるのが近道です。中小企業であればIPAの中小企業の情報セキュリティ対策ガイドラインが、エンドユーザー向けの啓発には対策のしおりが実務の出発点になります。そのうえで、現場目線では次の点が運用の肝になります。
- 守る順番を決める:すべてを一度にやろうとせず、被害が大きい管理者アカウント・VPN・クラウド管理コンソールから優先してMFAを有効化する。
- 方式を選ぶ:手軽さで普及したSMSは中間者型フィッシングに弱いことを踏まえ、可能なら認証アプリ、さらに重要システムにはFIDO2/パスキーを検討する。
- 例外と復旧を設計する:スマホ紛失・機種変更時の再登録手順や、バックアップコードの扱いをあらかじめ決めておく。ここが甘いと、サポート窓口が新たな突破口(ソーシャルエンジニアリング)になりがちです。
- 人への周知を忘れない:MFA疲労攻撃のように、最後の砦は利用者の判断です。「心当たりのない承認通知は押さない」という一点を、地道に啓発し続けることが効きます。
正直なところ、限られた人員でこれら全部を回し切るのは簡単ではありません。だからこそ「全部入れる」ではなく「どこから守るか」を割り切って決めることが、現場では何より重要だと感じます。
関連用語・あわせて読みたい
MFAは、パスワードに依存しない認証や、ID基盤を起点としたセキュリティ設計と地続きの話題です。あわせて以下もご覧ください。
- ゼロトラストとは?境界防御との違いと導入の勘所(MFAはゼロトラストの認証基盤の要)
- EDRとは?仕組みとEPP・XDRの違いを解説(侵入後を検知する仕組み)
- SIEMとは?ログ相関分析で脅威を検知する仕組みを解説(不審なログインの可視化)
まとめ
- 多要素認証(MFA)とは、知識・所持・生体という種類の異なる要素を2つ以上組み合わせて本人確認する仕組み。パスワード漏えい時の保険になる。
- ただし万能ではない。MFA疲労攻撃や中間者型フィッシングで突破される例があり、SMSやプッシュ承認型には弱点がある。重要システムにはFIDO2/パスキーなどフィッシング耐性のあるMFAを検討したい。
- 導入は管理者アカウントなど守る順番を決めて進め、復旧手順の設計と利用者への周知をセットで。迷ったらIPA等の公的指針を出発点にするのが現実的。
出典
- NISC・IPA「インターネットの安全・安心ハンドブック」 https://security-portal.cyber.go.jp/
- IPA「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/guide/sme/index.html
- NIST SP 800-63 Digital Identity Guidelines https://pages.nist.gov/800-63-3/
