「多要素認証」と「パスキー」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

近年、サイバーセキュリティへの重要性がますます高まっています。
増加するサイバー攻撃や不正アクセスへの対応として、従来のIDとパスワードだけによる認証では不十分と感じる方も多いでしょう。このIDとパスワードによる認証に代わり、さらに簡便さとセキュリティ強度を高める技術が、今回のテーマの「多要素認証」と「パスキー」です。

多要素認証（MFA）

「多要素認証」は、MFA（Multi-Factor Authentication）とも呼ばれる認証方法です。

セキュリティを強化するために、2つ以上の異なる要素を同時に使用して、ユーザを認証する方法です。

ここでいう要素「要素」とは知識情報、所持情報、生体情報の3つです。

１．知識情報（SYK：Something You Know）

自分だけが知っている情報。例えば、暗証番号、パスワード、PIN、秘密の質問とその答えなどが該当します。

２．所持情報（SYH：Something You Have）

自分だけが持っているモノ。例えば、社員証、スマートフォン、キャッシュカード、PCなどが該当します。

３．生体情報（SYA：Something You Are）

自分自身。例えば、指紋、顔、静脈、虹彩などが該当します。


多要素認証では、これらの3つの要素の2つ以上を同時に使うことで、セキュリティを強化します。

皆さんがよく使われている実際の例として、銀行のキャッシュカード認証があります。

キャッシュカード自体は所持情報、入力する暗証番号は知識情報となります。

また、スマートフォンでは、端末の所有（所持情報）に加えて、PINや指紋認証（知識情報、生体情報）を利用することが一般的です。

多要素認証導入のメリット

多要素認証の導入により、セキュリティを飛躍的に強化できます。

特にネット銀行では、ID・パスワードの入力後、登録したメールアドレスや電話番号にワンタイムパスコードを送信し、さらに確認を行う方式が一般的です。厳密にはこれを多段階認証と呼ぶことが多いですが、多要素認証の一種として捉えられることもあります。

パスキー

パスキーとは、パスワードを使わずにセキュリティと使いやすさを実現させた認証方式です。公開鍵暗号方式*¹を使ったFIDO2（Fast Identity Online 2）というFIDOアライアンス*²が定めた国際規格に基づいています。

*¹公開鍵暗号方式：データを暗号にする鍵と異なる鍵で、もとに戻す（復号化する）暗号方式。2つの鍵は暗号化にも復号化にも使用できるが、一方の鍵で暗号化した情報はもう片方の鍵でしか復号化できない。

*²FIDOアライアンス：パスワードへの過度の依存を減らすための認証標準を定める業界団体。

多くのWebサイトで利用されているID・パスワード認証は、Webサイトで事前に登録したIDとパスワードを使ってログインする仕組みです。

しかし、推測されやすいパスワードや、複数のサイトで同じID・パスワードを使い回すといった問題が起こりがちです。

一方、パスキー認証では、利用者のデバイス（PCやスマートフォン）でWebサイトごとに秘密鍵と公開鍵のペアを作成し、事前に対象のWebサイトにIDと公開鍵を登録します。

パスキーを使用する際の流れは下記の通りです。

①利用者がサイトにアクセスし、ログインIDを入力すると、

②Webサイト側は認証のために、利用者のデバイスにチャレンジと呼ばれるランダムな文字列を送ります。

③利用者は送られたランダムな文字列を確認するために、デバイスのロック解除をすることで本人確認を行い、

④送られてきたランダムな文字列を秘密鍵で暗号化し、Webサイトに送信します。

Webサイト側は送られてきたランダムな文字列を公開鍵で復元し、②で送った文字列と一致している場合にシステムの使用を許可します。

クラウドセキュリティ情報局「パスキーってなに？パスワードの代わりになる最新の技術を解説 」から

ID・パスワード認証では、IDとパスワードがインターネット上を通過します。これに対して、パスキー認証ではIDとチャレンジと呼ばれるランダムな文字列のみがインターネット上を流れるため、IDやパスワードが盗まれるリスクが最小化されます。

パスキー導入のメリット

従来のID・パスワード認証は、予測されやすいパスワードや使い回しによるセキュリティリスクが問題視されています。それに対し、パスキー認証では、複合的なセキュリティ層を提供し、不正アクセスを防ぎやすくします。企業や組織がこれらの新しい認証方法を導入するメリットは大きく、ユーザの安全性を確保しつつ、利便性を損なうことがありません。

今後、ますます多くの企業やサービスがこの2つの認証技術を採用し、より安全で便利なユーザ体験を提供していくことでしょう。技術の進歩により、これらの認証方法は新しいセキュリティの標準となる可能性があります。

参考文献

1. 【初心者向け】多要素認証とは? 二段階認証との違いや具体例を紹介｜ICT Digital Column
   https://www.nttpc.co.jp/column/security/whats_multi-factor-authentication.html
2. パスキーってなに？パスワードの代わりになる最新の技術を解説
   https://www.trustbind.jp/column/passkeys-20240314.html