ログイン

多要素認証(MFA)とは?

多要素認証(MFA)とは、リクエストされたリソースへのアクセスが許可される前に、ユーザーが2つ以上の認証要素を使用することが求められる認証方法を意味します。認証要素とは、ユーザー名やパスワード、ワンタイムパスワード、スマートカードなど、認証を行う際に使用されるメカニズムのことです。 MFA 戦略を実施することで、 ユーザーがリソース、アプリ、ウェブサーバーなどを利用するためにサインインする際に、2番目の要素またはそれ以上の認証要素(それがこの名称の由来です)をユーザーに要求することができます。生体認証(例:顔認識)などのこうした複数の認証要素によって、システムはそのユーザーのアイデンティティを高く信頼することができます。このように、MFA 法は、なりすまし攻撃や認証情報の盗難に遭う可能性を減らすことができます。

SMSを通じてモバイルデバイス(例:スマートフォン/モバイルフォン)宛に送られた一時的なコードを受信したことがある方は、少なくとも1つの対イプのMFAが作動しているのを、ご覧になったことがあるでしょう。従来のユーザー名とパスワード、そして SMS コードの組み合わせは、二要素認証の例であり、これがMFA のサブセットです。たとえば、Facebook や Google アカウントを持っている場合、これらのアカウントから二要素認証(2FA)をオンにするよう促すメッセージを見たことがあると思います。また、これらのサービスでこの機能をオンにして、ユーザー名とパスワードを入力した後、大体の場合、すぐに破棄できる一時的なコードがモバイルデバイスに送られてきます。そして、それを入力して認証プロセスを完了します。ログインプロセス全体では、ユーザー ID(パスワードおよび SMS コード、 いわゆるパスコード)を認証するために、複数の要素が使用されます。

MFA 入門

注記:シングルサインオンを使う場合、個人情報の盗難の潜在的なリスクを緩和するため、多要素認証が強く奨励されています。

MFA にはどのような違う種類の要素がありますか?

MFA で保護されたシステムでは、ユーザーのアイデンティティの信頼性を向上するためにたくさんの 要素のさまざまな例 が MFA で利用されています。

  • パスワード
  • モバイルアプリに送信される一時使用コード
  • ウェブアプリで使用できる OTP (ワンタイムパスワード)
  • ユーザーの指紋や顔による生体認証
  • QR コード、スマートカード

エンドユーザー認証に利用できる要素には多数の種類があるため、セキュリティ専門家は、3つのカテゴリーに体系化しています。:

  • 知識:このカテゴリーは、ユーザーが何かを知っていることを、証明しなければならない認証要素です(パスワードまたはセキュリティ質問への回答など。ただし、ユーザーデータのオンライントローリングは、後者の方法の安全性を低下させつつあります)。

  • 所有:所有要素は、ユーザーが所有しているものを証明しなければならない要素です(SMS コードを受け取ることができるモバイルデバイスなど)。

  • 継承::最後のカテゴリーは、ユーザーが生体情報を通じてアイデンティティを検証しなければならない要素のことです(網膜スキャンや顔認識、指紋スキャンなど)。

ステップアップ認証

最新のアプリケーションが、セキュリティ強化のために導入し始めている1つのメカニズムに、ユースケースとしての「ステップアップ認証」があります。このメカニズムは、アプリケーションの特定部分の安全性を強化するため、MFAを利用しています。つまり、アプリケーションは、エンドユーザーが他のリソースよりも機密性の高いリソースにアクセスしようとすると、さらに追加の要素をエンドユーザーに要求します。

たとえば、顧客データにアクセスする際に、ユーザー名とパスワードで認証することをユーザーに要求するシステムを想像してみください。顧客データ情報にアクセスすることは、一部の従業員がたずさわる日常的な業務であり、このような業務活動は機密性の低いものだと思われるかもしれません。ですが、顧客データ情報を更新したり、顧客に関する詳細情報(契約書の内容など)にアクセスしたりすることは、保護を強化しなければならない機密性の高い業務なのです。このような場合、ステップアップ認証が理想的でしょう。ユーザーが「編集」ボタンをクリックすると、システムは、未認可のアクセスの可能性を減らすため、他の要素を要求します。

このようなアプローチが、ユーザー体験とデータセキュリティのバランスをより良くしていると言えるでしょう。つまり、ユーザーがサインインするたびに、異なる要素を要求するのではなく、ユーザーに日々の業務を実行させながら、保護の強化が必要なデータのみを保護します。

Auth0 による多要素認証の実装

Auth0 は、あらゆる市場セクターの、何千にも及ぶカスタマーによって利用されている、アイデンティティプラットフォームです。アプリの ID 管理を集中化することができ、その中核に MFA を搭載しています。すなわち、Auth0 によるMFAの実装プロセス は、1つか2つのシンプルな手順で簡単にできるということです。:

  • まず、Auth0 ダッシュボードにサインインし、多要素認証画面に行き、有効化したい要素を選びます。同時に好きなだけ多くの要素を使うことができます。

  • そ次に、有効化した要素によっては、いくつか追加の設定を行わなければいけない場合があります。それが済んだら、アプリのセキュリティは強化され、脅威から保護されるようになります。

intro-to-identity-mfa2

多要素認証とは別に、Auth0 は、ステップアップ認証や有効化の処理にも対応しており、この手順もかなり簡単です。上記の認証機能でアプリを保護する Auth0 の使用方法について詳しく学びたい方は、公式資料をご参照ください:

-Auth0 における多要素認証

より詳しく学ぶには?

[IAM 入門ページ](https://auth0.com/intro-to-iam/)で、さらに多くの、ID とアクセスの管理に関するトピックをご覧ください。

Table of contents

MFA を使うべきですか?

どのような場合に MFA が正しい選択か詳しく学ぶ

ホワイトペーパーを入手する

無料で構築を開始