PCやWeb・クラウドサービスなどを利用する際、必要になるログイン認証。
これまではIDとパスワードを用いた認証が一般的でしたが、不正アクセスや情報流出に対する脅威が大きくなる中、よりセキュリティレベルの高いログイン認証の導入が求められています。この記事では、セキュリティリスクを軽減するために各方面で導入がすすむ「多要素認証」について、そのメリットや利用例などを解説します。
「多要素認証」とは、いったいどのようなものなのでしょうか。最初に、その定義や他の認証方法との違いなどについて、解説します。
多要素認証とは、複数の認証要素を用いて認証する手法のことで、英語で「Multi Factor Authentication(MFA)」と表記します。
認証要素には三つの種類があります。
この三つの要素のうち二つ以上を組み合わせて認証する仕組みを「多要素認証」、二つを組み合わせて認証する仕組みを「二要素認証」といいます。したがって二要素認証は、多要素認証の一部とも言えます。
対して、「二段階認証」は、ひとつの認証要素を用いて二回認証をする仕組みになります。
例えばクラウド上のサービスを利用する場合、ログイン時の本人確認で、パスワードを入力したあと、さらに「卒業した小学校の名前は?」などの質問に対する答えを求められたとします。この場合、二つの情報を使っていますが、パスワードも秘密の情報もいずれも知的要素であり、ひとつの認証要素を用いてログインしているため、これは多要素認証でも二要素認証でもなく、二段階認証になります。
今なぜ、こうした多要素認証が求められているのでしょうか。もっとも大きな理由のひとつは、なんといってもセキュリティ対策の強化です。
これまでは、IDとパスワードを使った認証方法が一般的でした。しかし、生年月日など簡単に第三者から推測されてしまうパスワードを使う利用者もいまだ多く、また、複数のサービスで同じパスワードを使い回すというケースもみられます。
さらに、近年ではパスワード入力を求められるシーンが激増しています。より複雑なパスワードを用い、利用シーンごとに異なるパスワードを設定すると、今度は逆にパスワードを忘れてしまうリスクが高まります。忘れないように紙に書いて張っておく、などといった実態も耳にします。
このような状況において、これまで一般的だったIDとパスワードだけに頼った認証では、巧妙化する不正アクセスなどのセキュリティインシデントに対応できなくなってきているのが現状です。
総務省、警察庁及び経済産業省が公表の不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況レポートによると、2023年に警察庁が認知した不正アクセス行為の件数は6,312件となり前年と比べ187%の大幅増となりました。そのうち検挙された案件の手口はIDやパスワードの不正入手が最も多く全体の90%を占めており、従来のIDとパスワードのみでアクセスやログインを管理する方法の脆弱性があらわになっています。
こうした状況を受けて、経済産業省は「産業界へのメッセージ」としてサイバーセキュリティ対策の徹底を呼びかけ、その中で多要素認証についても触れ、「多要素認証等によるセキュリティ強化」の必要性を訴えています。
また、産業界だけではなく、地方自治体に対しても対策強化が呼びかけられています。総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン」を2022年3月に改訂し、その中で多要素認証導入の必要性について複数個所で触れています。
(参考)
こうした背景から、多要素認証が利用されるシーンは、日本でも確実に増えてきています。これまでにも、サイバー犯罪・フィッシング詐欺などで狙われやすいサービスや、流出した場合の被害が甚大となる多くの個人情報を取り扱う企業などにおいて、より高いセキュリティ対策として多要素認証が導入されていました。
また、リモートワークの定着などを受け、PCのログイン認証を見直す企業や自治体も増えており、多要素認証が活用されています。
主なものとして、以下のような利用例があります。
こうして複数の要素を組み合わせることで、一つの要素が流出してしまっても、ほかの要素が解読されなければ、第三者による不正な利用を防ぐことが可能になります。多要素認証を導入することで本人確認のハードルを上げ、悪意のある第三者からの攻撃をブロックし、被害を防ぐことができます 。
実際に、企業はもちろん、自治体、学校などが多要素認証の導入をはじめています。また利用シーンとしても、Webやクラウドサービス利用時のログインのほか、建物やセキュリティエリアへの入室、勤怠管理、VPN接続時など、多岐にわたります。
さて、より高いセキュリティ対策として導入がすすむ多要素認証ですが、なかでも身体要素のひとつである「顔認証」に対し、以下の 理由から大きな期待が寄せられています。
パスワードや質問など、本人の記憶力に頼る知識要素は、忘れがちで多くの人がログインパスワードを再発行した経験があるのではないでしょうか?また、パスワードが解読されてしまうなど、知識要素は情報として流出する危険性があります。
一方、ICカードなど所持要素は、紛失のリスクと隣り合わせです。さらに、悪意のある第三者による盗難なども考えられます。
その点で、身体要素については、忘れる、紛失するなどといったリスクはほぼゼロといっても過言ではありません。
例えば、PCのログイン認証では、これまでのIDとパスワード(知識要素)に、顔認証(身体要素)を加えると、比較的大きな手間をかけることなく多要素認証を実現することが可能です。指紋認証やカード読み込みなどは専用機器設置が必要な場合もあるため、既存のハードウェアを活用できる点が顔認証の強みと言えます。
顔認証は、基本的にカメラに顔を向けるだけで高精度な認証が可能で、マスクをした状態など大幅に顔が遮蔽された状態でも本人確認することができるため、認証のためにマスクを着脱するといった手間も必要ありません。顔認証は完全ハンズフリーで高速認証ができます。
顔認証は、非接触で認証が可能なため、公共の場や多数が利用する共用のパソコンなどがある環境でも安心して使用できます。
せっかく多要素認証を導入しても簡単になりすましができては意味がありません。顔認証はAIを活用して「人間らしさ」(生体判定スコア)などをカメラ画像から測定し、画像や動画、3Dマスクなどを使用したなりすましを効果的に防ぐことが可能です。
なりすまし防止機能を導入する際には、利用シーンやセキュリティレベルなどに応じて、エッジ端末もしくはクラウド側のどちらに実装するのか、また一般的なWebカメラもしくは、専用カメラ(3Dカメラ、IRカメラ)のどちらを利用するのかなどを選択し、組み合わせていくことが重要となります。
サイバーリンクはパートナーを通し、自治体のパソコンのログインセキュリティ強化を目的に、FaceMeの顔認証を活用した二要素認証ソリューションを提供しました。
機密情報を含む業務用のパソコンにアクセスしたり、画面ロックを解除したりする場合、アカウントのパスワードやセンサーによるIDカード識別に加え、顔認証を活用することで、不正アクセスを防ぎながら迅速で効率的な認証プロセスを実現し、セキュリティレベルを向上させています。
多要素認証の導入は、セキュリティリスクを軽減し、安心してデジタルサービスを利用するために欠かせない要素となりつつあります。特に顔認証はその利便性と高いセキュリティ性から、多くの場面で採用が進んでいます。これからも多要素認証の普及と進化が期待される中、特に重要な個人情報を扱う企業や自治体はセキュリティ対策の一環として積極的な導入を検討すべきでしょう。
FaceMe について
