こんにちは。株式会社フィックスポイントのよしだです。
今回は、現代にかなり浸透している多要素認証が、勉強会でのトピックとなりました。
技術的に詳しい部分ではなく、全体的に噛み砕いた内容となっていますので、多要素認証を理解する第一歩としてご参考いただければと思います。
そもそも認証ってなに?
IPA ネットワークセキュリティ関連用語集には、下記の通り記載されています。
認証もしくは本人認証は、ユーザが本人であることを証明する過程をいう。認証のプロセスは、典型的には、本人であることの証拠として、 ユーザの知識として自らの名前とパスワードやパスフレーズの入力を要求する。近年、ユーザの持ち物(例:スマートカード)や、ユーザの身体的特徴(バイオメトリクス)に基づく認証機構も普及しつつある。
ここでポイントとなるのが、あくまでも自分自身が"本人であることを証明"しなければならないということです。
当たり前ですが「私が本人です!信じてください!」と主張するだけでは認証にはなりません。
この時、認証をする側の確認方法としては、2パターンあります。
①自身のサービスを使用して認証
②外部機関に確認して認証
具体例としては、下図の通りです。
認可と認証の違い
認証とは、ユーザが本人であることの証明をすることでした。
それでは、似た言葉でよく聞く「認可」との違いはなんでしょうか。
またIPA ネットワークセキュリティ関連用語集の定義を見てみましょう。
「認証」の後に、各ユーザのシステム資源へのアクセスを権限に応じて許可する過程。典型的には、ACL (Access Control List) の機構が利用されている。
つまり、認証を無事通過したユーザについて、それぞれ利用できるサービス・機能を決めるという意味です。
分かりやすい例で言うと、居酒屋等での年齢確認が一種の認可にあたります。
多要素認証ってなに?
多要素認証 (MFA: Multi-Factor Authentication) とは先の認証について、複数の種類の要素をユーザーに要求する認証方式のことです。
必要な要素が2つの場合は、2要素認証 (2FA: Two-Factor Authentication) と呼ばれることもあります。
多要素の種類としては主に3つが挙げられます。
-
- 記憶認証…パスワード、PIN、母親の旧姓 など
- 所持認証…SMS (電話)、Google Authenticator などの認証アプリ など
- 生体認証…指紋、静脈、顔 など
- 記憶認証…パスワード、PIN、母親の旧姓 など
手前味噌ではありますが、フィックスポイントの製品、Kompira cloudではパスワード+SMS認証の多要素認証を提供しています。
1.記憶認証(パスワード)
2.所持認証(SMS)
多段階認証との違い
多要素認証のほかによく耳にするものとして、多段階認証というものがあります。
それでは、多要素認証と多段階認証の違いとはなんでしょうか。
多段階認証 (MSA: Multi-Step Authentication) は、認証の回数 (段階) に着目したもので、必ずしも複数の要素を使うわけではありません。
多要素認証とするには、上記で挙げた種類をまたがって認証する必要があります。
この部分が、多要素認証と多段階認証の相違点です。
多段階認証であって多要素認証でない例として、二回パスワードが必要になるものや、パスワード+PINが求められるものなどがあります。
こちらのページでは、最初のパスワードに加えて第2パスワードの入力が求められます。
この場合、記憶認証であるパスワードを2回入れるため、要素は1つですが段階は2回の多段階認証、ということになります。
参加者の反応
今回の発表を聞いた参加者の反応です。
全体を通して「分かりやすい!」という反応が目立ちました。
このように噛み砕いた内容であれば、初心者の方でも理解しやすいかもしれません。
最後に
今回は、多要素認証について基本的な部分の解説を扱いました。
多要素認証は複数の要素を使って認証する方式のことで、多段階認証は複数回にわたって認証を行う方式のことでした。
多段階認証は認証の足し算、多要素認証は認証の掛け算なので、どちらもセキュリティ対策として十分意味があるものです。
この点を踏まえ、認証技術理解への足がかりとしてみてください。
株式会社フィックスポイントでは、一緒に働いてくれるメンバーを募集しています!
詳細は、こちらをご覧ください。
