2FAとMFAの違いについて解説!より安全な認証プロセスを実現するには?
2FA(2段階認証)も MFA(多要素認証)も、アカウントへのアクセス許可を証明するために複数の方法を要求することで、アカウントのセキュリティを強化する方法です。2FA が「ちょうど2つ」の認証形式を要求するのに対し、MFA は「少なくとも2つ」の認証形式を要求しますが、2FA と MFA のどちらを選ぶかとなると、「多ければ多いほど良い(より安全)」という考え方になるのが一般的です。
ただ、認証形式の中には本質的に他の認証形式よりも強力であるのもあるため、2FA の正しい形式の方が、MFA の間違った方法よりも煩わしさが少なく、より高いセキュリティを実現できる場合があります。
そこで本記事では、MFA または 2FA を選択する際に押さえておくべきことを見ていきます。
TeamPassword では最新の MFA 技術により、アカウントへのアクセスが簡単になります。ぜひこちらから14日間の無料トライアルに登録してお試しください。
Table of Contents
認証とは
認証とは、ユーザーが自分の身元を証明する方法です。自分の身元を証明する方法はたくさんありますが、最も一般的なのは「ユーザー名とパスワードの入力」です。
認証は、人が自分の身元を証明しないといけない方法の数に基づいて、以下のカテゴリーに分けられます。
- SFA(単一要素認証)
- 2FA(2段階認証)
- MFA(多要素認証)
SFA(単一要素認証)とは
SFA(単一要素認証)は、通常、「ユーザ名とパスワード」という単一の方法で、ユーザーIDの検証を要求します。これは最も安全性の低い認証形式であり、パスワードに関連する数々の問題が伴います。
さらに最近では、多くのモバイルデバイスが SFA として生体認証が取り入れられています。
2FA(2段階認証)とは
2FA(2段階認証)は、ユーザーが主張するアイデンティティを「ちょうど2つ」の方法で検証することを要求し、第一の方法は多くの場合は「ユーザー名とパスワード」で、第二の方法はより多様になります。そして最も一般的な二次要素に、ショートメール、メール、OTP(認証アプリのワンタイムパスワード))コードが挙げられます。
パスワードは Pwned(ハッカーに悪用されるためにネット上に流出すること)される可能性があることから、SFA よりも 2FA の方がはるかに安全です。
MFA(多要素認証)とは
MFA(多要素認証)は、「少なくとも2つの方法」で、ユーザーが主張する ID を検証することを要求するものであり、ユーザーの主張する身元を証明するのに、「ちょうど2つ」の方法を要求する 2FA とは異なります。
MFA には少なくとも2種類の ID 検証形式が必要ですが、実際は2種類の方法をデフォルトとすることが多いです。その意味で、多くの場合、MFA は単なる 2FA となります。
さらに、サイバーセキュリティの専門家の中には、認証要素が多い方が常に良いと主張する人もいますが、現実には、本質的により安全なものもあり、さらなる要素が無駄かつ面倒なものになっています。
ただ、さまざまなタイプの認証要素が選択される場合、3つ以上の要素が求められる MFA だと、2FA よりも安全な認証情報が作られます。
二次認証要素の種類
さまざまな種類の二次認証要素を理解するには、以下の「PICK」を覚えると良いでしょう。
- 所有(Possession)要因
- 内在(Inherence)要因
- コンテクスト(Context)要因
- 知識(Knowledge)要因
所有(Possession)要因
所有認証要素とは、ユーザーが持っているものであり、最も一般的なのには、認証アプリ、メールアドレス、または ショートメール に送られるコードなど、さまざまなタイプの OTP(ワンタイムパスワード)があります。
その他の所有要因としては、例えばセキュリティキー、スマートカード、暗号化サムドライブが必要な場合などの特別なハードウェアがあります。
所有要因の種類:
- メールのコード
- ショートメールのコード
- 認証アプリコード
- 登録の電話番号への通話
- スマートカード
- セキュリティキー
- 暗号化サムドライブ
内在(Inherence)要因
内在認証要素とはユーザーそのものであり、最も一般的なのに生体認証データがあります。顔認証や指紋などの珍しい内在認証要素もありますが、新しい形式として虹彩スキャンや音声コマンド、あるいは歩行認識もあります。
内在要因の種類:
- 指紋
- 顔認証
- 虹彩スキャン
- 音声コマンド
- 歩行認識
コンテクスト(Context)要因
コンテキスト認証要素は、ユーザがどこにいるかに基づいています。最も一般的なコンテキスト要素は、例えばユーザがアカウントにアクセスするには、「特定の国にいる」、「特定のネットワークにログインしている」、 または「安全な社内 VPN を使っている」ことが必要などの地理的なものになります。
さらに、アカウントによっては、月曜日から金曜日の勤務時間中など、特定の時間帯にしかアクセスできない場合があります。
コンテクスト要因の種類:
- 発信国
- ネットワーク接続
- VPN 接続
- 時間帯
- 曜日
知識(Knowledge)要因
知識認証要素は、ユーザが知っていることに基づきます。「ユーザ名とパスワード」の他に、「個別の PIN コード」も知識要素の一般的な形式ですが、知識要素の最も一般的な形式は、以下のような個人的な質問になります。
- 初めて通った学校の名前は?
- どの地域で育ったか?
- 初めての上司の名前は?
- 初めて飼ったペットの名前は?
ソーシャルエンジニアリング攻撃によって、知識要素の多くは時代遅れとなり、安全とは言えなくなりました。そのため、少なくともセキュリティの高い企業では、今は知識要素はほとんど使われていません。
知識要素の種類:
- ユーザー名とパスワード
- PIN コード
- 個人的な質問
2FAとMFAの違い
2FAは「ちょうど2つ」の形式の ID 検証が必要であるのに対し、MFA は「少なくとも2つ」の形式の検証が必要であり、そういう意味では、2FA はすべて MFA ということになりますが、MFA がすべて 2FA であるというわけではありません。
多くの人は、MFA が実際に 2FA と本当に違うのか疑問に思うかもしれません。実際、ログインに2つ以上の認証形式が必要になるのは、ものすごく稀なことです。というのも、多くの場合は3つ目の認証フォームの付加価値はわずかであり、その割には追加される時間と煩わしさが強く感じられるからです。
2FAよりMFAの方がいいのか
大抵の場合、MFA のデフォルトは 2FA であり、他の多くの場合は、MFA はセキュリティを大幅に強化するものではなく、時間の浪費やフラストレーションという形でユーザーは負担を強いられます。ただし、3つ目(または4つ目、5つ目...)の認証ステップで、セキュリティがさらに強化され、ビジネスの要件によって正当化されるような状況もあります。
では、MFA がどのように有益なのか、あるいは無駄なのかを、以下の3つの場面で見てみましょう。
場面1:二次認証の2つの内在形式
この場面では、身元を証明するの以下のような3つのステップが必要になります。
- ユーザー名とパスワード
- 指紋認証
- 顔認証
この場合、ステップ2と3は無駄だと言えます。どちらも偽造しにくいため、ハッカーはユーザーを誘拐しない限りこれを悪用することはできません。この場合、MFA は 2FA に比べて付加価値がほとんどありません。
場面2:強力な二次認証と弱い二次認証が1つずつある場合
この場面では、身元を証明するのに以下の3つのステップが必要になります。
- ユーザー名とパスワード
- 顔認証
- セキュリティ質問
この場合、セキュリティ質問は多くの場合簡単に検索できる情報であり、例えばユーザーの SNS 上でデータが見つからないのであれば、多くの場合は親戚や友人に電話することで推測できます。ユーザーにセキュリティの質問に答えてもらうことで得られるさらなるセキュリティは非常に低いため、これはイライラする「不要な3番目のステップ」になります。
場面3:強力で多様な2つの二次認証方式
この場面では、身元を証明するのに以下の3つのステップが必要になります。
- 会社のネットワークに接続しておく必要がある
- ユーザー名とパスワード
- 認証アプリを介した OTP(ワンタイムパスワード)
この場合、2つの非常に強力な認証形態(コンテキストと所有)を使って、許可されたユーザーしか情報にアクセスできないようにしています。これは企業によってはやりすぎかもしれませんが、他の企業、特にランサムウェア攻撃を受けたことのある企業にとっては、このセキュリティレベルの追加は正当化されます。
2FAやMFAでセキュリティ改善
パスワードには以下のような多くの問題があります。
- 覚えにくい
- コンピューターにハッキングされやすい
- ユーザーが使い回す
- 頻繁に変更されない
そのため、認証の形式としては脆弱なので、サイバーセキュリティの専門家は、ID 検証プロセスに別のステップを追加することでパスワードの欠点を補うべく、2FA と MFA を使います。
そして、パスワードマネージャーはさらに一歩進んでいます。例えば TeamPassword は、複数のアカウントの認証に時間を費やす代わりに、強力なMFA ウォールの元にパスワードをすべて安全に保持します。
アカウントのパスワードを安全に作成、保存、共有するため、パスワードを何百も覚えたり、何百ものアカウントに同じパスワードを使ったりする必要はありません。
TeamPassword は最も安全な MFA を使って、重要なアカウントを保護します。詳細をご希望の方は、こちらから14日間の無料トライアルにご登録ください。
추천 기사
QRコード詐欺(クイッシング)とは?QRコードを利用した新しい手口に要注意
本記事では、QRコード詐欺(クイッシング)について、その特徴や手口、そしてどのように対策を講じるべきかについて見ていきます。日常的にQRコードを利用する機会が増えている今こそ、正しい知識を身につけ、詐欺の被害を未然に防ぎましょう。
パスワード変更頻度|セキュリティを強化するためのヒント
パスワードの定期的な変更はセキュリティを強化するための基本的な対策とされてきましたが、パスワードの変更が必ずしもセキュリティ向上につながるとは限らないという意見が近年増えています。本記事では、パスワードの変更頻度とセキュリティの関係について見ていきます。
ブルートフォース攻撃とは?脅威と対策について解説
本記事では、ブルートフォース攻撃の概要から、その影響や対策について見ていきます。サイバー攻撃の手法は日々進化していますが、ブルートフォース攻撃は、強力で簡単に実行できるため、攻撃者による頻繁な利用が見受けられます。
