MFA(多要素認証) えむえふえー(たようそにんしょう)
簡単に言うとこんな感じ!
MFAは「鍵を2本以上使わないとドアが開かない」仕組みだよ!パスワードだけじゃなく、スマホに届くコードや指紋など、別の証明も組み合わせて「本当に本人?」を確かめるってこと!
MFA(多要素認証)とは
MFA(Multi-Factor Authentication:多要素認証) とは、システムやサービスにログインする際に、2種類以上の異なる認証要素を組み合わせて本人確認を行うセキュリティの仕組みです。パスワード1つだけで認証する「単要素認証」に比べ、不正アクセスのリスクを大幅に下げられます。
たとえば「パスワードを入力したあと、スマホに届いた6桁のコードも入力しないとログインできない」という状態がMFAです。仮にパスワードが漏れても、スマホを持っていなければ攻撃者はログインできません。パスワード漏洩だけではアカウントを乗っ取れない点が最大の強みです。
近年のサイバー攻撃の大半はパスワードの窃取・推測から始まるため、MFAは企業のセキュリティ対策として事実上の標準となっています。クラウドサービス(Microsoft 365、Google Workspace など)や銀行のオンラインバンキングでも広く義務化・推奨されています。
認証の「3つの要素」
MFAの「要素(Factor)」には、下記の3種類があります。別カテゴリの要素を2つ以上組み合わせることが原則です。
| 要素の種類 | 英語 | 意味 | 具体例 |
|---|---|---|---|
| 知識要素 | Something you know | 本人だけが知っている情報 | パスワード、暗証番号、秘密の質問 |
| 所持要素 | Something you have | 本人だけが持っているもの | スマホ(認証アプリ)、ICカード、ハードウェアトークン |
| 生体要素 | Something you are | 本人の身体的特徴 | 指紋、顔認証、虹彩、声紋 |
覚え方(語呂合わせ)
「知って・持って・なりきる」 と覚えましょう!
- 知識(know)→ パスワード
- 持ち物(have)→ スマホ・カード
- なりきる(are)→ 指紋・顔
二段階認証との違い
「二段階認証」と「MFA」は混同されがちですが、厳密には別物です。
| 用語 | 定義 | 例 |
|---|---|---|
| 二段階認証(2-Step Verification) | ログインを2ステップで行う | パスワード → 秘密の質問(どちらも知識要素) |
| 二要素認証(2FA) | 異なる2種類の要素を使う | パスワード(知識)+ SMSコード(所持) |
| MFA | 2種類以上の異なる要素を使う | 2FAを包含する上位概念 |
実務上は「二段階認証=MFA」として扱われることが多いですが、セキュリティ的に意味があるのは異なるカテゴリの要素を組み合わせた場合に限ります。
歴史と背景
- 1980年代 — RSA社がハードウェアトークン(SecurID)を開発。30秒ごとに変わるワンタイムパスワード(OTP)の原型が登場
- 2000年代 — オンラインバンキングの普及とともに、フィッシング詐欺やパスワード窃取が急増。金融機関を中心にMFA導入が進む
- 2011年 — TOTP(Time-based One-Time Password)の標準規格 RFC 6238 が策定。Google AuthenticatorなどのアプリがTOTPを採用し、スマホを使ったMFAが一般化
- 2013年 — Adobeの大規模パスワード流出(約1.5億件)など相次ぐ漏洩事件が、MFA普及の契機に
- 2016年〜 — NIST(米国国立標準技術研究所)がSMS認証の脆弱性を指摘。より安全な認証アプリ・ハードウェアキーへの移行が推奨される
- 2019年〜 — ゼロトラストセキュリティの概念普及とともに、「すべてのアクセスにMFAを」という考え方が企業の標準に
- 2022年〜 — パスキー(Passkey)が登場し、パスワード不要でFIDO2ベースの強固な認証が一般ユーザーにも広まりつつある
主なMFA方式の比較
方式によってセキュリティ強度と利便性が異なります。導入コストも考慮しながら選ぶことが大切です。
| 方式 | 仕組み | 強度 | 利便性 | コスト |
|---|---|---|---|---|
| SMS / 電話認証 | 電話番号にコードを送信 | △ | ◎ | 低 |
| 認証アプリ(TOTP) | アプリが30秒ごとにコードを生成 | ○ | ○ | 低 |
| プッシュ通知 | スマホに「承認しますか?」と通知 | ○ | ◎ | 中 |
| ハードウェアキー(FIDO2) | USBキーや NFCデバイスをタッチ | ◎ | ○ | 高 |
| 生体認証 | 指紋・顔認証(端末内処理) | ◎ | ◎ | 端末依存 |
| パスキー | FIDO2ベースのパスワードレス認証 | ◎ | ◎ | 低〜中 |
SMS認証の注意点: SIMスワップ攻撃(電話番号を乗っ取る手口)に対して脆弱なため、NIST SP 800-63B では高リスク用途でのSMS認証は非推奨とされています。
MFAの仕組みフロー
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 6238 | TOTP(Time-Based One-Time Password)アルゴリズムの標準仕様 |
| RFC 4226 | HOTP(HMAC-Based One-Time Password)アルゴリズムの標準仕様 |
| RFC 7235 | HTTP認証フレームワークの仕様(MFAが組み込まれる基盤) |
関連用語
- パスワード認証 — 最も基本的な知識要素による認証方式
- ゼロトラストセキュリティ — 「すべてのアクセスを信頼しない」前提でMFAを必須とするセキュリティモデル
- FIDO2 / パスキー — パスワード不要のMFAを実現する最新の認証標準
- シングルサインオン(SSO) — 一度の認証で複数サービスを使える仕組み。MFAと組み合わせて利用されることが多い
- OTP(ワンタイムパスワード) — 1回限り有効なパスワード。MFAの所持要素として広く使われる
- フィッシング詐欺 — MFA導入の主な動機となった、偽サイトでパスワードを盗む攻撃手法
- アイデンティティ管理(IAM) — 誰がどのリソースにアクセスできるかを管理する仕組み。MFAはIAMの中核機能