多くの企業がWebやクラウドなどで多様なサービスを活用し、DX化が急速にすすむ今日。こうした変化により、企業は成長を加速させ、発展する一方で、不正アクセスや情報流出などに対する懸念も大きくなっています。より高度なセキュリティ対策が求められる中、多くの情報を扱う企業はどのようにセキュリティ向上をはかるべきなのでしょうか。
この記事では、セキュリティリスクを軽減するために各方面で導入がすすむ「多要素認証」について、そのメリットや利用例などを解説します。
「多要素認証」とは、いったいどのようなものなのでしょうか。最初に、その定義や他の認証方法との違いなどについて、解説します。
多要素認証とは、複数の認証要素を用いて認証する手法のことで、英語で「Multi Factor Authentication(MFA)」と表記します。
認証要素には三つの種類があります。
この三つの要素のうち二つ以上を組み合わせて認証する仕組みを「多要素認証」、そのうち二つを組み合わせて認証する仕組みを「二要素認証」といいます。二要素認証とは、多要素認証の一部です。
対して、「二段階認証」は、ひとつの認証要素を用いて二回認証をする仕組みになります。
例えばクラウド上のサービスを利用する場合、ログイン時の本人確認で、パスワードを入力したあと、さらに「卒業した小学校の名前は?」などの秘密の質問に対する答えを求められたとします。この場合、二つの情報を使っていますが、パスワードも秘密の情報もいずれも知的要素であり、ひとつの認証要素を用いてログインしているため、これは多要素認証でも二要素認証でもなく、二段階認証になります。
同じように二回認証をする場合でも、異なる認証要素を用いて認証する場合は、二段階認証ではなく、多要素認証(二要素認証)となります。
今、多要素認証が求められているもっとも大きな理由のひとつは、なんといってもセキュリティ対策の強化です。
これまでは、IDとパスワードを使った認証方法が一般的でした。しかし、生年月日など簡単に第三者から推測されてしまうパスワードを使う利用者もいまだ多く、また、複数のサービスで同じパスワードを使い回すというケースもみられます。一方で、パスワード入力を求められるシーンが激増している昨今では、より複雑なパスワードを用い、利用シーンごとに異なるパスワードを設定すると、今度は逆にパスワードを忘れてしまうというリスクが高まります。忘れないように紙に書いて張っておく、などといった笑い話のような実態も耳にします。
このように、これまで一般的だったIDとパスワードだけでは、多発するセキュリティインシデントに対応できなくなってきているのが現状です。
経済産業省が所管する独立行政法人・情報処理推進機構(IPA)が発行する「情報セキュリティ白書2022」によると、日本国内での2021年の情報セキュリティインシデントの数は、報道されている件数だけで全体で769件、2020年の537件から40%以上も増加し、Webサイト改ざん、フィッシング、ランサムウェアによる被害など、いずれも前年より大きく増加しています。白書では、ここ数年の働き方の変化などにより、より脅威が大きくなっているとして、「VPNやリモートデスクトップを感染経路としたランサムウェアは、新型コロナウイルス感染拡大で定着したリモートワークにより顕在化した脅威である」としています。
さらに、今後もリモートワークは一般的なビジネス環境として活用が続くとして、「感染被害を引き起こさないためにも、企業・組織では脆弱性対策等の基本的対策のほか、万が一侵入された場合に備えた対策の充実が求められる」と注意喚起をしています。
こうした状況を受けて、経済産業省は2022年4月に産業サイバーセキュリティ研究会を開催し、「産業界へのメッセージ」としてサイバーセキュリティ対策の徹底を呼びかけました。その中で、役員や職員への教育、データのバックアップなどの主な対策と並び、多要素認証についても触れ、「多要素認証等による認証を強化する」とその必要性を訴えました。
また、産業界だけではなく、地方自治体でも対策強化がはじまっています。総務省では「地方公共団体における情報セキュリティポリシーに関するガイドライン」を2022年3月に改訂し、その中で多要素認証導入の必要性について複数個所で触れています。
このように、国内でもセキュリティインシデントが多発している現在、多要素認証のようなより高いセキュリティ対策をとることが求められているのです。
(参考)
こうした背景から、多要素認証が利用されるシーンは、日本でも確実に増えてきています。これまでにも、サイバー犯罪・フィッシング詐欺などで狙われやすいサービスや、流出した場合の被害が甚大となる多くの個人情報を取り扱う企業などにおいて、より高いセキュリティ対策として多要素認証が導入されていました。
主なものとして、以下のような利用例があります。
こうして複数の要素を組み合わせることで、一つの要素が流出してしまっても、ほかの要素が解読されなければ、第三者による不正な利用を防ぐことが可能になります。多要素認証を導入することで本人確認のハードルを上げ、悪意の第三者からの攻撃をブロックし、被害を防ぐことができるのです。
実際に、企業はもちろん、自治体、学校、など多くの団体が多要素認証の導入をはじめています。また利用シーンとしても、Webやクラウドサービス利用時のログインのほか、建物やセキュリティエリアへの入室、勤怠管理、VPN接続時など、多岐にわたります。
さて、より高いセキュリティ対策として導入がすすむ多要素認証ですが、なかでも身体要素のひとつである「顔認証」に対し、さまざまな理由から大きな期待が寄せられています。
顔認証とは、カメラが検知した顔の画像や映像から本人確認をするもので、生体認証システムのひとつです。生体認証は、前述した身体要素を用いた認証方法で、顔のほか、指紋、静脈などを利用する手法があります。
まず、身体要素を用いるメリットとして、「忘れる、紛失するなどのリスクがほぼない」という点が挙げられます。パスワードや秘密の質問など、本人の頭の中に頼る知識要素は、前述したように忘れてしまうというリスクが常につきまといます。また、例えば総当たり攻撃などによりパスワードが解読されてしまうなど、知識要素は情報として流出する危険が高いという難点があります。
一方、ICカードやトークンなどといった所持要素は、紛失のリスクと隣り合わせです。さらに、所持者がなくさないように気を付けていたとしても、悪意の第三者による盗難なども考えられます。
その点で、身体要素については、忘れる、紛失するなどといったリスクはほぼゼロといっても過言ではありません。
そして、身体要素の中でも特に「顔」による本人確認をする顔認証システムは、その特徴から多要素認証の導入において多くの場面で取り入れられています。
顔認証のメリットとして、次のような点が挙げられます。
顔認証は、両手がふさがっていても顔さえ検知できれば機能するため、例えば荷物の運搬などが想定されるシーンでも認証に余計な時間を取ることなく、スムーズな本人確認が可能です。昨今はマスクをつけたまま高い精度で本人確認することができる顔認証システムも開発され、認証のためにマスクを着脱するといった手間も必要ありません。
新型コロナウイルス感染症の感染拡大で、接触に対する心理的負担が大きくなっている今日。情報取得のための機器と接触することなく認証できる顔認証システムは、時代にあった認証システムのひとつといえます。また、一部の顔認証システムには、検温スクリーニングなど高い機能を備えており、本人確認とあわせて体温を測定し、健康状態を監視することも可能です。
こうした理由から、多要素認証を導入する際、身体要素のひとつとして顔認証システムが多くのシーンで選ばれているのです。
多要素認証を実現するシステムギア社の「IC, 磁気カード対応マルチリーダー端末 PDC-310」への導入事例はこちら
以上、多要素認証とはどういうものか、なぜいま、導入が求められているのかについて、具体的なメリットなどとあわせてご紹介しました。これからの時代、セキュリティインシデントを未然に防止し、利用者からの信頼を得るために、多要素認証を用いた本人確認は必須といえるでしょう。