2024/06/27

多彩なWebサービスの登場により、消費者の暮らしが便利になった反面、オンライン上では悪質な“なりすまし”による被害が増加し、後を絶ちません。第三者が本人のふりをして不正にログインする手口は、ますます巧妙になっています。このような背景から、情報セキュリティ対策で注目されている認証方式が「多要素認証」です。

ここでは、セキュリティ強度の高い多要素認証の基礎知識や、ほかの認証方法との違い、ビジネスへの導入メリットや注意点について解説します。企業のWebサービスのセキュリティ責任者様は、自社の安全性を強化するためにぜひ参考にしてみてください。

目次

多要素認証の基礎知識

 ・多要素認証とは

 ・PCI DSSとは

 ・多要素認証に用いる3つの要素の具体例

多要素認証と二要素認証、二段階認証の違い

 ・多要素認証と二要素認証の違い

 ・多要素認証と二段階認証の違い

多要素認証を導入するメリットと注意点

 ・多要素認証を導入するメリット

 ・多要素認証を導入する注意点

PCI DSSのバージョンアップの影響

 ・PCI DSSのVersion 4.0への移行

 ・多要素認証のPCI DSSへの準拠

多要素認証では便利で安心な「電話認証」という選択も

多要素認証の基礎知識

セキュリティ対策で導入される「多要素認証」の基礎知識をご紹介します。まずは、多要素認証がセキュリティ向上に有効な理由や、従来の認証方法との違い、認証で使用される要素について確認してみましょう。

多要素認証とは

「多要素認証」とは、PC・サーバー・オンライン上のサービスなどへのログイン時に使う、認証方法の一つです。略して「MFA(Multi-Factor Authentication)」とも呼ばれています。

多要素認証の特徴は、2つ以上の要素を組み合わせて認証することです。従来のセキュリティ対策では、パスワードの入力によって認証を行うのが一般的でした。しかし、簡単に推測されやすいパスワードを設定していたり、複数サービスのサインインで同様のパスワードを使いまわしたりすると、セキュリティレベルが低下してしまいます。

こうしたパスワード管理の限界に対して、認証により多くの要素を必要とする多要素認証は、セキュリティレベルの向上につながる点で注目されているのです。万が一IDやパスワードを盗まれてしまったとしても、その他の要素と組み合わせて認証する仕組みであれば、認証を不正に突破されるリスクが少なくなります。その際、本人が所持する端末や本人の生体情報などを用いて認証すれば、第三者に情報を窃取されるリスクを抑えられる上、パスワード管理の手間を省くことが可能です。

多要素認証は、主にクレジットカード情報などの重要な情報を扱う場面に導入されています。たとえば、クレジットカード業界で採用されているセキュリティ基準「PCI DSS」に準拠するには、多要素認証を導入する必要性があります。

PCI DSSとは

「PCI DSS」とは、2004年に制定された、クレジットカードの安全な取り扱いを実現するためのセキュリティ基準です。国際組織である「PCI SSC」が管理および運用を担っています。PCI SSCは、クレジットカードの国際ブランドとして知られる「American Express」「Discover」「JCB」「MasterCard」「VISA」の5社により設立された国際組織です。

PCI DSSのルールが定められた理由として、オンライン決済の普及にともない、クレジットカード情報の漏洩による被害が拡大した背景があります。こうした被害を避けるには、各社でセキュリティを強固にするための取り組みが不可欠です。複数の国際ブランドが連携することで、世界中で統一されたセキュリティ基準に基づいた運用を推進し、大規模な被害の発生を防ぐ意味合いがあります。

多要素認証に用いる3つの要素の具体例

多要素認証の認証情報として、「知識要素」「所有要素」「生体要素」の3つの要素がセキュリティ強化に活用されています。

・知識要素
知識要素とは、本人だけが知っている情報のことを指します。「知る要素」とも呼ばれます。知識要素の代表例は、「ID」「パスワード」「PINコード(暗証番号)」「秘密の質問」などです。

・所有要素
所有要素とは、本人が所有しているものに付随する情報のことです。「持つ要素」とも呼ばれます。たとえば、携帯電話やスマートフォンを用いた「電話認証(IVR認証)」や「SMS認証」のほか、USBトークンやソフトウェアトークンを含む「セキュリティトークン」、「ICカード」などを使って認証する方法もあります。

・生体要素
生体要素とは、本人の身体的な情報のことです。「備える要素」とも呼ばれます。顔を利用した「顔認証」や指紋を利用した「指紋認証」は生体認証の一例で、スマートフォンのロック解除や決済といった身近な場面でも使われています。ほかに、目の虹彩や網膜、声の声紋なども生体要素の一つです。

多要素認証と二要素認証、二段階認証の違い

セキュリティ対策で用いられる認証方法には、多要素認証のほかに「二要素認証」や「二段階認証」といった種類があります。それぞれの認証方法の特徴や、二段階認証との違いについて解説します。

多要素認証と二要素認証の違い

「二要素認証」とは、2つの要素を組み合わせて認証を行う方法です。前述の知識要素・所有要素・生体要素のうち、2種類を認証に用いるという特徴があります。たとえば、知識要素のID+パスワードに加えて生体要素の指紋で認証するのは、二要素認証です。それに対して、多要素認証では3つの要素を組み合わせるケースもあります。以上のことから、二要素認証は多要素認証の一種ともいえるでしょう。

多要素認証と二段階認証の違い

「二段階認証」とは、2つの段階に分けて認証を行う方法です。たとえば、一段階目の認証ではID+パスワード、二段階目の認証では暗証番号を用いるようなケースが挙げられます。こちらの例では、いずれの段階でも知識要素のみが認証に用いられています。二段階認証は、2種類以上の要素を用いる多要素認証とは異なり、認証に必要な要素の数を問いません。

多要素認証を導入するメリットと注意点

多要素認証を導入すると、セキュリティやユーザーの利便性などの観点で、どのようなメリットが期待できるのでしょうか。また、システムの導入時にはどのような点に注意するべきでしょうか。多要素認証に対応する際に知っておきたい情報をお伝えします。

多要素認証を導入するメリット

多要素認証を導入すると、第三者による不正ログインを防ぎやすくなります。その理由は、2種類以上の要素を組み合わせて認証するためです。万が一、アカウントのメールアドレス・ID・パスワードなどが流出してしまっても、多要素認証では所有要素や生体要素も必須なので、ログインまで到達できません。導入によってセキュリティレベルの向上が期待できます。

また、ユーザーの利便性を高められるのも、多要素認証のメリットの一つです。所有要素と生体要素を組み合わせた認証では、ユーザーがIDやパスワードを覚えたり、定期的にパスワードを変更したりする必要がありません。従来よりもスムーズにログインしやすくなるのも大きな利点です。

多要素認証を導入する注意点

多要素認証を導入するうえで重要となるのは、認証に用いる要素の選択です。どの要素を選ぶかには、慎重な判断が求められます。

知識要素を選ぶ場合、情報が流出しないよう管理体制を整える必要があります。所有要素には、認証デバイスの紛失・盗難のリスクが存在するのが難点です。生体要素は、個人のプライバシー情報を利用するため、ユーザーのなかには登録に抵抗感をおぼえる方もいらっしゃるでしょう。

こうした要素ごとのデメリットを押さえたうえで、運用しやすさとユーザーの利便性を総合的に判断し、要素を選択できると理想的です。

SMS認証を行う端末は、本人以外の第三者が契約するリスクを完全には避けられない

PCI DSSのバージョンアップの影響

2024年からは、「PCI DSS v4.0」の運用が開始されます。バージョンアップにともない、すでに導入済みのセキュリティ対策の変更が必要となる可能性があるため、事前に確認しておくことが大切です。

PCI DSSのVersion 4.0への移行

2024年4月1日以降、PCI DSSのバージョンが新しくなり、「PCI DSS v4.0」の運用がスタートします。「PCI DSS v4.0」では、新たな要件が追加されたり、従来よりも要件が厳しくなったりして、さらに強固なセキュリティ対策が求められるようになりました。これらの変更にともない、場合によってはシステムの改修などに対応する必要があるでしょう。また、企業では想定される情報セキュリティ上のリスクに基づいた対応や、情報の取り扱いに関する教育の徹底なども求められます。

多要素認証のPCI DSSへの準拠

「PCI DSS v4.0」へのバージョンアップにともない、多要素認証の強化に関する要件が加わりました。運用開始後は、カード会員データ環境(CDE)に対する全てのアクセスが多要素認証の対象となります。そのため、クレジットカード会社や金融機関に限らず、流通業界・通信業界・EC業界などの幅広い事業者が対象に該当し、多要素認証への対応を求められている状況です。

多要素認証では便利で安心な「電話認証」という選択も

ここまで、多要素認証の基礎知識や、ほかの認証方法との違い、導入のメリットや注意点をお伝えしました。多要素認証では2種類以上の要素を用いるため、導入にあたりセキュリティレベルの向上が期待できます。一方で、自社の機密情報をサイバー攻撃から守るためにどの要素を認証に用いるべきか、お悩みのITご担当者様も多いのではないでしょうか。

Webサービスのセキュリティ対策では、「電話認証(IVR認証)」を要素の一つとしてご検討ください。電話認証とは、ユーザーが所有しているスマートフォンや携帯電話を利用した、所有要素の一種です。ユーザーが登録した電話番号への発信を行い、音声案内にて認証キーを伝えます。

電話認証は、同じ所有要素の「SMS認証」と比べて、“なりすまし”のリスクを避けやすいというメリットがあります。各種モバイルサービスでは、データ通信専用のSIMカードを契約する際に、本人確認が行われていません。つまり、SMS認証を行う端末は、本人以外の第三者が契約するリスクを完全には避けられないのです。

その一方で、電話認証を行えるのは音声通話機能付きのSIMカードを契約しているユーザーのみとなります。音声通話に対応したSIMカードの契約では、本人確認が必須です。第三者による“なりすまし”のリスクを避けやすく、不正アクセス対策という観点から、よりセキュアで安心しやすい方法といえます。

こうした理由から、「電話認証」は銀行振込やマイページへのログインなど、重要な情報へアクセスする際におすすめできます。アウトバウンドとインバウンドの双方に対応し、一定時間を経過するとログインが不可能となるワンタイムパスワード認証の設定も可能です。多要素認証を導入するなら、より高度なセキュリティ対策につながる「電話認証」をご検討ください。

電話認証(IVR認証)

関連コラム

おすすめコラム

簡単・便利なIVRを体験

IVRで電話業務を自動化する手法や、IVRサービス提供会社を選ぶポイントを知ることができる資料を無料提供

下記の関心をお持ちの方におすすめです!

  • コールセンターの電話業務をどこまで自動化できるのか知りたい

  • 自動化に適したコール内容を知りたい

  • IVRやボイスボット導入により、自動化に成功した事例を知りたい

IVRを活用してコールセンターを自動化する手法と成功事例

IVRで課題解決

こんな課題ありませんか?

  • 電話対応を自動化したい
  • あふれ呼や営業時間外の機会損失を減らしたい
  • 災害時のBCP(事業継続計画)やテレワークに活用したい

お問い合わせ・資料請求はこちら

お電話からのお問い合わせ