1. 多要素認証(MFA)とは
多要素認証(Multi-Factor Authentication: MFA)は、ユーザがシステムやサービスにログインする際に、異なる種類の認証要素を組み合わせて本人確認を行う仕組みです。
従来のID+パスワードだけでは不正アクセスに弱いため、MFAが広く推奨されています。
2. 認証要素の分類
| 種類 | 内容 | 例 |
|---|---|---|
| 知識要素(Something you know) | ユーザが知っている情報 | パスワード、PINコード、秘密の質問 |
| 所持要素(Something you have) | ユーザが持っている物理的・電子的なもの | スマホの認証アプリ、ICカード、セキュリティキー、 トークン、スマホに送られるワンタイムパスワード(OTP) |
| 生体要素(Something you are) | ユーザの身体的・行動的特徴 | 指紋認証、顔認証、声紋認証 |
⚠️ 同じカテゴリを組み合わせても「多要素認証」にはならない点に注意。
例:パスワード+秘密の質問(どちらも知識要素) → 強固だがMFAではない。
3. 実務における利用シーン
- 金融機関:インターネットバンキングでの取引時、ワンタイムパスワードを利用
- クラウドサービス(AWS, GCP, Azure, Microsoft 365 など):管理者アカウントはMFA必須
- 企業システム:VPN接続時に、パスワード+スマホ認証アプリを組み合わせる
- 一般ユーザサービス:GoogleやApple ID、LINEなどがMFAを提供(SMS認証や生体認証)
4. 実装・導入の流れ
-
要件整理
- セキュリティレベル(金融/医療などは高強度が必要)
- 利用者の利便性(スマホ必須か、ハードトークンを配布するか)
-
認証方式の選択
- TOTP(Google Authenticatorなど)
- SMS/メールコード
- FIDO2/WebAuthn(パスワードレス)
- ICカード+PIN
-
システム実装・設定
- Webサービス:OpenID Connect / OAuth 2.0 と連携
- 社内システム:IdP(Azure AD, Okta, Keycloak など)でMFA強制設定
-
ユーザ教育・運用ルール
- 初期登録の手順(スマホアプリセットアップなど)
- 紛失・故障時のバックアップ手段(予備コード、管理者リセット)
5. MFAの課題と対策
| 課題 | 内容 | 対策 |
|---|---|---|
| 利便性低下 | 毎回の認証で手間がかかる | 「信頼できる端末」の仕組みや認証回数の最適化 |
| コスト | ハードトークンやICカードの導入コストが発生 | スマホアプリ(TOTP)で代替 |
| フィッシング | 偽サイトにコードを入力してしまうリスク | FIDO2/WebAuthnの導入で耐性強化 |
6. 図解
まとめ
- 多要素認証は「異なる種類の認証要素」を組み合わせることでセキュリティを強化する仕組み
- クラウドや金融をはじめ、今やMFAは標準的なセキュリティ対策
- 課題(利便性・コスト・運用)を考慮しつつ、FIDO2などの新技術も活用するとよい