多要素認証 (MFA)

多要素認証（MFA: Multi-Factor Authentication）とは、Webサイト、アプリケーション、またはネットワークにアクセスしようとするユーザーに、パスワードに加えて最低1つの認証要素を、またはパスワードの代わりに、最低2つの認証要素を提供することを要求するID検証方法です。

複数の認証要素のハッキングはパスワードのみのハッキングより手間がかかり、また他の種類の要素の窃盗や偽造はパスワードの窃盗や偽造より困難であるため、MFAを導入することにより、単一要素（ユーザー名、パスワード）による認証と比較して、組織を無許可アクセスからより適切に保護できます。

今やMFAは、多くの組織のIDおよびアクセス管理戦略の基盤となるコンポーネントになりました。 MFAは、多くの業界や政府機関で義務付けられたり、推奨されたりしている認証方式です。 多くの従業員やインターネット・ユーザーは、MFAのサブタイプである2要素認証（2FA）を経験したことがあるでしょう。2FAでは、システムまたはWebサイトにログインする際に、パスワードと、2つ目の要素、  通常は携帯電話またはメール・アドレスに送信されるパスコード  を入力することがユーザーに要求されます。 また、銀行のカードと暗証番号（PIN）を使用してATMにアクセスしたことがある人はすべて、MFAの一種を使用したことがあると言えます。

MFAは、2つのレベルでハッカーを混乱させます。 最も基本的なレベルでは、2つ以上の要素をハッキングするのは、1つだけをハッキングするより困難です。 しかし、MFAスキームの強度は、最終的にはMFAがユーザーに提供することを求める認証要素の種類によって決まります。

知識要素：ユーザーが知っていること

知識要素とは、パスワード、PIN、セキュリティーの質問に対する答えなど、理論的に考えて、ユーザーしか知らない情報のことです。 知識要素は、最も広く使用されていると同時に、最も脆弱な種類の認証要素です。 ハッカーは、フィッシング攻撃、ユーザーのデバイスへのキーロガーやスパイウェアのインストール、成功するまで可能性のあるパスワードを生成/テストするスクリプトまたはボットの実行などによって、パスワードやその他の知識要素を取得します。

その他の種類の知識要素の不正入手も大して困難ではありません。 一部のセキュリティーの質問への答えは、ハッカーがユーザーを知っていたり、ソーシャル・メディアで検索することで見つけられる可能性があります。 その他は、比較的容易に推測できます。 2022年のIBMによるデータ漏えいのコストに関するレポートで、2022年において、組織に対する攻撃を開始する際に最もよく使用されたのが侵害されたログイン情報であったという調査結果が発表されましたが、これは驚くに当たりません。

MFAとはパスワードとセキュリティーの質問への答えのように、2つの知識要素を要求する認証であると誤解されている場合がよくあります。 2つ目の知識要素を要求することでセキュリティーをいくらか向上させることはできますが、真のMFAで要求されるのは、2つ以上の種類の要素の使用です。

所有要素：ユーザーが持っているもの

所有要素とは、物理ロックへのアクセスを許可するフォブやIDカード、認証アプリがインストールされたモバイル・デバイス、あるいは認証情報が保存されたスマート・カードのような、ユーザーが物理的に所有しているものを指します。

多くのMFA環境では、「トークンとしての電話」と呼ばれる方法が使用されます。この方法では、ユーザーの携帯電話で所有要素となる情報が受信または生成されます。 前述のように、MFAでは通常ワンタイム・パスワード（OTP）が、テキスト・メッセージ、Eメール・メッセージ、または通話によってその人の電話に送信されます。 ただしOTPは、認証アプリと呼ばれる特殊なモバイル・アプリによって生成することもできます。 また、一部の認証システムでは、ユーザーがタップするだけで自分のIDを確認できるプッシュ通知が送信されます。

その他のMFAソリューションでは、物理トークン、すなわち専用ハードウェア・セキュリティー・キーが使用されます。 一部の物理トークンでは、コンピューターのUSBポートに接続することで、認証情報をログイン・ページに送信できます。 その他の物理トークンでは、ユーザーが入力するためのOTPが生成されます。

所有要素には、知識要素より優れた点がいくつかあります。 ユーザーになりすましてログインする際、悪意のある攻撃者は所有要素を持っている必要があります。 所有要素はアプリケーション（IP）とは異なるネットワーク経由で動作するため、ハッカーが資格情報を盗むためには2つの異なるコミュニケーション・チャネルを傍受しなければなりません。 ハッカーがOTPを取得できたとしても、有効期限が切れる前に取得して使用する必要があるのに加え、OTPは再使用できません。   

ただし、リスクもあります。 物理トークンはものであるため（通常は小さい）、盗まれたり、紛失したり、置き忘れたりする可能性があります。  一方、OTPは従来型のパスワードより盗まれにくいですが、巧妙なフィッシングや中間者攻撃、あるいは悪意のある攻撃者が被害者のスマートフォンのSIMカードのコピーを作成する「SIMのクローン作成」に対しては依然として脆弱です。

固有要素：人としてユーザー固有のもの

固有要素は、生体認証とも呼ばれ、ユーザーに固有の身体的特性です。  人の指紋、声、顔の特徴、虹彩や網膜のパターンなどが固有要素の例として挙げられます。 今日、多くのモバイル・デバイスは、指紋または顔認識を使用してロックを解除できます。また一部のコンピューターでは、指紋を使用してパスワードをWebサイトやアプリケーションに入力できます。

固有要素は、突破するのが最も難しい要素です。 忘れたり、紛失したり、置き忘れたりすることはなく、複製することも非常に困難です。

しかし、だからと言って、固有要素が絶対確実であるとは言えません。 固有要素がデータベースに保存されていれば、盗まれる可能性があります。 例えば、2019年に、100万人のユーザーの指紋が含まれた生体認証データベースが侵害されました。 理論的には、ハッカーはこれらの指紋を盗んだり、自分の指紋をデータベース内の別のユーザーのプロファイルと関連付けることができます。

バイオメトリック・データが侵害された場合、データを素早く、簡単に変更することはできません。そのために、被害者が進行中の攻撃を食い止めるのが困難になります。

行動要素：ユーザーが行うこと

行動要素とは、行動パターンに基づいてユーザーのIDを検証するデジタル成果物のことです。 行動要素の例には、ユーザーが通常アプリケーションにログインする際に使用するIPアドレス範囲、またはロケーション・データがあります。

行動認証ソリューションでは、人工知能を使用してユーザーの通常の行動パターンのベースラインを決定し、新しいデバイス、電話番号、Webブラウザー、ロケーションなどの変則的なアクティビティーに対してフラグが立てられます。 このようなソリューションは、アダプティブ認証（「リスク・ベース認証」とも呼ばれます）スキームでもよく使用されます。このようなスキームでは、リスクの変化に従って認証要件が変更されます。このようなリスクの変化には、ユーザーが信頼できないデバイスからログインしようとしたとき、アプリケーションに初めてアクセスしようとしたとき、あるいは特に機密性の高いデータにアクセスしようとしたときなどがあります。

行動要素はユーザー認証の優れた手段となりますが、その導入にはかなりのリソースと専門知識が必要です。 また、ハッカーがいったん信頼できるデバイスにアクセスしてしまうと、そのデバイスを認証要素として使用できるようになります。

サイバーセキュリティー侵害において、知識要素が最も多く最初に悪用される傾向にあるため、多くの組織では、パスワードなしの認証の導入を検討しています。 パスワードなしの認証は、IDの検証時に所有要素、固有要素、および行動要素に依存します。 パスワードなしの認証により、フィッシング攻撃や、ハッカーがあるシステムから盗んだ資格情報を使用して別のシステムにアクセスするクレデンシャル・スタッフィング攻撃のリスクを軽減できます。

パスワードなしの認証により、ID検証チェーン内で最も弱い部分であると広く考えられてきたものは排除できますが、所有要素、固有要素、および行動要素の持つ脆弱性の影響を受けやすい状況は変わりません。 組織は、ユーザーに複数の知識要素以外の認証資格情報を提供することを要求するアプローチを採用して、このような脆弱性を軽減できます。 例えば、ユーザーに指紋と物理トークンを要求することで、パスワードなしのMFAを構成できます。

サイバー攻撃の増加に対応して、政府および諸官庁は、機密データを取り扱うシステムにMFAを導入するよう要求し始めています。 2020年、米国国税庁（IRS）は、オンライン確定申告書類作成システムのプロバイダーに対してMFAを義務付けました。 バイデン米大統領による2021年の国家のサイバーセキュリティーの向上に関する大統領令により、MFAは全連邦機関の必須要件となりました。 フォローアップ覚書では、2022年8月18日までに、すべてのナショナル・セキュリティー、国防総省、およびインテリジェンス・コミュニティーに関連するシステムにMFAを実装することが義務付けられました。

Payment Card Industry Data Security Standard（PCI-DSS）などのいくつかの業界規則には、クレジット・カードやペイメント・カードのデータを処理するシステムにはMFAを実装する必要があることが明記されています。 Sarbanes-Oxley（SOX）やHIPAAなどの多くのその他の規則には、コンプライアンスを保証するのに不可欠なものとしてMFAが強く推奨されています。 いくつかの州規制の中には、MFAを何年もの間義務付けているものがあります。 2017年に発効したサイバーセキュリティー規制23 NYCRR 500のMFAに関する規定に違反した企業に対し、ニューヨーク州金融サービス局（NYDFS）は、最大300万米ドルの罰金を課しました （リンクはibm.com外にあります） 。

シングル・サインオン（SSO）は、ユーザーが一式のログイン情報によって複数の関連するアプリケーションやサービスにアクセスできるようにする認証方式です。 ユーザーがいったんログインすると、SSOソリューションはそのIDを認証し、セッション認証トークンを生成します。 このトークンは、さまざまな相互接続されたアプリケーションやデータベース向けのユーザ－のセキュリティー・キーとして機能します。

複数のアプリケーションへのアクセスを一組のログイン情報に依存するリスクを軽減するために、組織では通常、SSOにアダプティブ認証を追加しています。 アダプティブSSOでは、アダプティブ認証の機能がSSOスキームに適用されます。 SSOを使用したログイン試行時や、SSO認証セッション中にユーザーに異常な振る舞いがあった場合、ユーザーは追加の認証要素を提供することを求められます。 異常な挙動行動の例には、認識されないVPNを介した接続、ユーザーのセッション認証トークンでカバーされていないアプリケーションまたはデータへのアクセスがあります。

ユーザーのIDがまったく信頼されず、常に検証されるゼロトラスト・サイバーセキュリティー・アーキテクチャーではしばしば、認証の目的で、アダプティブSSOとMFAの組み合わせが使用されます。 ユーザーのIDをセッションを通して継続的に確認し、リスクに基づいて追加の認証要素を要求することで、アダプティブSSOとMFAは、ユーザー体験を妨げることなく、アクセス管理を強化します。