多要素認証とは?二要素認証・二段階認証との違いやメリット、注意点
2021/06/14
多彩なWebサービスの登場により、消費者の暮らしが便利になった反面、オンライン上では悪質な“なりすまし”による被害が後を絶ちません。第三者が本人のふりをして不正にログインする手口は、ますます巧妙になっています。このような背景から、セキュリティ対策で注目されているのが「多要素認証」です。
ここでは、多要素認証の基礎知識やほかの認証方法との違い、導入のメリットや注意点について解説します。Webサービスのセキュリティ責任者様は、ぜひ参考にしてみてください。
目次
多要素認証の基礎知識
セキュリティ対策で導入される「多要素認証」の基礎知識をご紹介します。まずは、従来の認証方法との違いや、認証に用いられる要素について確認してみましょう。
多要素認証とは
「多要素認証」とは、PC・サーバー・オンライン上のサービスなどにログインする際に使う、認証方法の一つです。略して「MFA(Multi-Factor Authentication)」とも呼ばれています。
多要素認証の特徴は、2つ以上の要素を組み合わせて認証することです。従来のセキュリティ対策では、パスワードの入力によって認証を行うのが一般的でした。しかし、推測されやすいパスワードを設定していたり、複数サービスのサインインに同様のパスワードを使っていたりすると、セキュリティレベルが低下してしまいます。こうしたパスワード認証と比べて、認証により多くの要素を必要とする多要素認証は、セキュリティレベルの向上につながる点で注目されているのです。
多要素認証で用いられる要素は、「知識要素」「所有要素」「生体要素」の3つに大別されます。以下では、それぞれの要素の特徴について解説していきます。
多要素認証に用いる3つの要素の具体例
・知識要素
知識要素とは、本人だけが知っている情報のことを指します。「知る要素」とも呼ばれます。知識要素の代表例は、「ID」「パスワード」「PINコード(暗証番号)」「秘密の質問」などです。
・所有要素
所有要素とは、本人が所有しているものに付随する情報のことです。「持つ要素」とも呼ばれます。たとえば、携帯電話やスマートフォンを用いた「電話認証(IVR認証)」や「SMS認証」のほか、USBトークンやソフトウェアトークンを含む「セキュリティトークン」、「ICカード」などを使って認証する方法もあります。
・生体要素
生体要素とは、本人の身体的な情報のことです。「備える要素」とも呼ばれます。顔を利用した「顔認証」や指紋を利用した「指紋認証」は生体認証の一例で、スマートフォンのロック解除や決済といった身近な場面でも使われています。ほかに、目の虹彩や網膜、声の声紋なども生体要素の一つです。
多要素認証と二要素認証、二段階認証の違い
セキュリティ対策で用いられる認証方法には、多要素認証のほかに「二要素認証」や「二段階認証」といった種類があります。それぞれの認証方法の特徴や、二段階認証との違いについて解説します。
多要素認証と二要素認証の違い
「二要素認証」とは、2つの要素を組み合わせて認証を行う方法です。前述の知識要素・所有要素・生体要素のうち、2種類を認証に用いるという特徴があります。たとえば、知識要素のID+パスワードに加えて生体要素の指紋で認証するのは、二要素認証です。それに対して、多要素認証では3つの要素を組み合わせるケースもあります。以上のことから、二要素認証は多要素認証の一種ともいえるでしょう。
多要素認証と二段階認証の違い
「二段階認証」とは、2つの段階に分けて認証を行う方法です。たとえば、一段階目の認証ではID+パスワード、二段階目の認証では暗証番号を用いるようなケースが挙げられます。こちらの例では、いずれの段階でも知識要素のみが認証に用いられています。二段階認証は、2種類以上の要素を用いる多要素認証とは異なり、認証に必要な要素の数を問いません。
多要素認証を導入するメリットと注意点
多要素認証を導入すると、セキュリティやユーザーの利便性などの観点で、どのようなメリットが期待できるのでしょうか。また、システムの導入時にはどのような点に注意するべきでしょうか。多要素認証に対応する際に知っておきたい情報をお伝えします。
多要素認証を導入するメリット
多要素認証を導入すると、第三者による不正ログインを防ぎやすくなります。その理由は、2種類以上の要素を組み合わせて認証するためです。万が一、アカウントのメールアドレス・ID・パスワードなどが流出してしまっても、多要素認証では所有要素や生体要素も必須なので、ログインまで到達できません。導入によってセキュリティレベルの向上が期待できます。
また、ユーザーの利便性を高められるのも、多要素認証のメリットの一つです。所有要素と生体要素を組み合わせた認証では、ユーザーがIDやパスワードを覚えたり、定期的にパスワードを変更したりする必要がありません。従来よりもスムーズにログインしやすくなるのも大きな利点です。
多要素認証を導入する注意点
多要素認証を導入するうえで重要となるのは、認証に用いる要素の選択です。どの要素を選ぶかには、慎重な判断が求められます。
知識要素を選ぶ場合、情報が流出しないよう管理体制を整える必要があります。所有要素には、認証デバイスの紛失・盗難のリスクが存在するのが難点です。生体要素は、個人のプライバシー情報を利用するため、ユーザーのなかには登録に抵抗感をおぼえる方もいらっしゃるでしょう。
こうした要素ごとのデメリットを押さえたうえで、運用しやすさとユーザーの利便性を総合的に判断し、要素を選択できると理想的です。
多要素認証では便利で安心な「電話認証」という選択も
ここまで、多要素認証の基礎知識や、ほかの認証方法との違い、導入のメリットや注意点をお伝えしました。多要素認証では2種類以上の要素を用いるため、導入にあたりセキュリティレベルの向上が期待できます。一方で、どの要素を認証に用いるべきか、お悩みのご担当者様も多いのではないでしょうか。
Webサービスのセキュリティ対策では、「電話認証(IVR認証)」を要素の一つとしてご検討ください。電話認証とは、ユーザーが所有しているスマートフォンや携帯電話を利用した、所有要素の一種です。ユーザーが登録した電話番号への発信を行い、音声案内にて認証キーを伝えます。
電話認証は、同じ所有要素の「SMS認証」と比べて、“なりすまし”のリスクを避けやすいというメリットがあります。各種モバイルサービスでは、データ通信専用のSIMカードを契約する際に、本人確認が行われていません。つまり、SMS認証を行う端末は、本人以外の第三者が契約するリスクを完全には避けられないのです。
その一方で、電話認証を行えるのは音声通話機能付きのSIMカードを契約しているユーザーのみとなります。音声通話に対応したSIMカードの契約では、本人確認が必須です。第三者による“なりすまし”のリスクを避けやすく、不正アクセス対策という観点から、より安心しやすい方法といえます。
こうした理由から、「電話認証」は銀行振込やマイページへのログインなど、重要な情報へアクセスする際におすすめできます。アウトバウンドとインバウンドの双方に対応し、一定時間を経過するとログインが不可能となるワンタイムパスワード認証の設定も可能です。多要素認証を導入するなら、より高度なセキュリティ対策につながる「電話認証」をご検討ください。
電話認証(IVR認証)
関連コラム
おすすめコラム
IVRをご検討中の方
簡単・便利なIVRを体験
カテゴリー
- ACD(2)
- BPO(2)
- CPaaS(1)
- CS調査(4)
- DHK CANVAS(3)
- DX(6)
- IVRの選び方(4)
- KPI(3)
- PBX(2)
- PCI DSS(2)
- RPA(1)
- SMS(2)
- SMS送信IVR(3)
- VOC(5)
- あふれ呼(5)
- アンケート(4)
- インバウンド(1)
- オートコール(5)
- カード決済(3)
- コールセンターシステム(4)
- コールフロー(3)
- コールリーズン(3)
- テレワーク(2)
- ノーコード(1)
- バックオフィス(6)
- ビジュアルIVR(1)
- ボイスボット(4)
- マニュアル(11)
- 基本(17)
- 多要素認証(3)
- 用件振分・情報案内(5)
- 督促(1)
- 自動受付IVR(5)
- 自治体DX(3)
- 電話取り次ぎ(11)
- 電話認証(3)
IVRで電話業務を自動化する手法や、IVRサービス提供会社を選ぶポイントを知ることができる資料を無料提供
IVRで課題解決
こんな課題ありませんか?
- 電話対応を自動化したい
- あふれ呼や営業時間外の機会損失を減らしたい
- 災害時のBCP(事業継続計画)やテレワークに活用したい
お電話からのお問い合わせ
-
大阪(西日本エリア)
06-6313-8000 -
東京(東日本エリア)
03-3645-1711