多要素認証 (2FA) の意味と種類

学習のねらい

パスワードを安全に管理していても、万が一パスワードが漏洩（ろうえい）してしまう可能性はゼロではありません。 そこで、パスワードの次にアカウントを守る強力な手段が「多要素認証（たようそにんしょう）」（MFA: Multi-Factor Authentication、または2FA: Two-Factor Authentication）です。 このレッスンでは、多要素認証の仕組みと、その種類について学びます。

1. 「知っている + 持っている + 生体」のうち2つ以上

多要素認証とは、ログイン時に「あなた自身であること」を確認するために、 複数の異なる種類の要素を組み合わせて認証する方法です。 主に以下の3つの要素が使われます。

1. 知識要素（知っているもの）: パスワード、PINコード、秘密の質問の答えなど、本人しか知らない情報。
2. 所持要素（持っているもの）: スマートフォン、セキュリティキー、トークンなど、本人しか持っていないもの。
3. 生体要素（本人であるもの）: 指紋、顔認証、声紋など、本人の身体的特徴。

多要素認証は、これらのうち「2つ以上の異なる種類の要素」を組み合わせて使います。 たとえば、パスワード（知識要素）を入力した後、スマートフォン（所持要素）に送られてくるコードを入力する、といった形です。 これにより、たとえパスワードが漏洩しても、攻撃者があなたのスマートフォンを持っていなければログインできないため、 アカウントの乗っ取りを防ぐことができます。

2. SMS認証は最弱 — 認証アプリかパスキーが推奨

多要素認証にはいくつかの種類がありますが、その中でもSMS（ショートメッセージサービス）を使った認証は、 近年セキュリティ上の弱点が指摘されています。 SMSは、電話番号を乗っ取られたり、携帯電話会社のシステムを悪用されたりする「SIMスワップ攻撃」などのリスクがあります。 米国CISA（サイバーセキュリティ・インフラセキュリティ庁）もSMS認証から他のより安全な方法への移行を推奨しています。

より安全な多要素認証の方法としては、以下のものが推奨されます。

• 認証アプリ（例: Authy, Google Authenticator）: スマートフォンにインストールするアプリで、一定時間ごとに変わる6桁程度の認証コードを生成します。 インターネット接続がなくても利用でき、SIMスワップ攻撃の影響を受けにくいのが特徴です。 一度設定すれば、多くのサービスで利用できます。
• パスキー（Passkey）: パスワードの代わりに、スマートフォンやPCに内蔵された生体認証（指紋や顔認証）やPINコードを使ってログインする、 次世代の認証技術です。パスワードが不要になるため、フィッシング詐欺にも強いとされています。 まだ対応サービスは限られますが、今後普及が期待されています。
• セキュリティキー（FIDOキー）: USBメモリのような物理的なデバイスで、PCに挿したり、スマートフォンにタッチしたりして認証します。 非常に強力なセキュリティを提供しますが、デバイスを紛失するリスクや持ち歩きの手間があります。

3. バックアップコードは紙で印刷して安全な場所に保管

多要素認証を設定する際、多くのサービスが「バックアップコード」や「リカバリーコード」を発行します。 これは、スマートフォンを紛失したり、認証アプリが使えなくなったりした場合に、 アカウントにログインするための「最後の手段」となるコードです。

バックアップコードは、非常に重要な情報です。 デジタルデータとしてPCやクラウドに保存するのではなく、 紙に印刷して、鍵のかかる引き出しや金庫など、物理的に安全な場所に保管する ことを強くおすすめします。 また、他人に見られないよう、複数のコピーを異なる場所に保管することも検討しましょう。

まとめ

多要素認証は、パスワード漏洩時のアカウント乗っ取りを防ぐための重要なセキュリティ対策です。 「知識」「所持」「生体」の異なる要素を組み合わせて利用します。 SMS認証は避け、認証アプリやパスキーなどのより安全な方法を選びましょう。 そして、万が一の時のために、バックアップコードは紙に印刷して安全に保管することを忘れないでください。