ここでいう認証とは、厳密には当人認証（Authentication）のことです。当人認証とは、その時その場所で認証処理をしているのが本人であることを確認する作業のことを指します。

後述するとおり、IDとパスワードでWebサービスのマイページにアクセスするのも当人認証ですし、顔認証によってゲートを通過するのも当人認証の一つとなります。

本人確認との違い

当人認証と混同されやすい概念として、「本人確認」や「身元確認」が挙げられます。

身元確認（Identity Proofing&Verification）とは、本人確認書類等を用いて本人であることを確認する作業のことを指します。書類には、運転免許証やマイナンバーカード表面などの公的身分証もあれば、水道光熱費の支払書のような補助書類まで、さまざまなものがあげられます。

また本人確認とは、ここまでご紹介した身元確認と当人認証を合わせた一連の処理・作業のことを指します。順番としては「身元確認→当人認証」であり、オンライン等で手続きをしているのが、身元確認した本人であることを確認するために、当人認証があると言えます。

当人認証には、主に3つの認証要素があります。

知識認証

知識認証とは、“本人だけが知っている知識”を確認することで進める当人認証手段です。

たとえば前述したIDとパスワードによる認証は、最も多く使われている知識認証手段です。このほかにも「暗証番号」や、パスワード等を忘れた際に問われる「秘密の質問」も知識認証に含まれます。

所有物認証

所有物認証とは、“本人だけが所持しているモノ”を確認することで進める当人認証手段です。

たとえば初回サービス登録時にメールアドレスを設定した際に「メールアドレス宛に送ったメールのURLから認証を進める」というプロセスは、メールアドレスという本人だけが所持しているモノを使った所有物認証です。

この他にも、携帯電話番号宛にSMSで送る暗証番号や、金融機関等でよく利用されるワンタイムパスワード、ICカードによる読み込みなども所有物認証に含まれます。

生体認証

生体認証とは、“本人の身体等における生体情報”を確認することで進める当人認証手段です。

たとえば指紋読み取りによってスマホロックを解除するのは、代表的な生体認証と言えます。また指紋以外にも、声や顔、虹彩（こうさい：黒目の奥の茶目の部分）などが生体認証に使われます。

ここまでご紹介した「知識認証」「所有物認証」「生体認証」のうち、1つだけで認証することを「単要素認証」と言い、一方で複数を使って認証することを「多要素認証」と表現します。多要素認証の組み合わせとしては、以下の6パターンが考えられます。

知識認証 × 所有物認証 × 生体認証
知識認証 × 所有物認証
所有物認証 × 生体認証
知識認証 × 生体認証

二要素認証と二段階認証との違い

多要素認証のうち、2つの認証要素を用いた当人認証のことを「二要素認証」と特別に表現することがあります。上の組み合わせの中で「知識認証 × 所有物認証 × 生体認証」以外の3つが、二要素認証ということになります。

一方で、認証要素の数とは関係なく、認証の段階を2回経て認証することを「二段階認証」と表現します。

たとえば「ID/パスワード」による認証の後に「暗証番号」を入力するという認証プロセスを考えてみましょう。この場合、段階としては2段階で設定されていますが、認証要素はいずれも「知識認証」になります。よってこのケースの場合は「単要素認証における二段階認証」ということになります。

このように、二要素認証と二段階認証は全く別の概念になるので、注意してください。

次に、ここ数年で多要素認証の実装へのニーズが高まっている理由をみていきましょう。

ID/パスワードによる認証の限界

長らくオンラインの当人認証では、IDとパスワードによる知識認証による単要素認証が主流でした。

しかし、サイバー攻撃が増加する昨今においては、単純なパスワードの設定は絶対NGですし、複雑に設定したものの使い回しもNGです。つまり、個人が適切に運用するには、相当にハードルの高いものとなってきています。

結果として多くの人は、覚えやすい単純なパスワードを設定してしまうか、もしくは複雑なパスワードをさまざまなサイト・システムに適用してしまうかの、どちらかを行う可能性が高まります。

もしも複数のサイト・システムで同じパスワードを設定してしまっていると、一度ハッキング等で流出した場合に、複数の被害が発生することが想定されます。

このように、ID/パスワードによる単要素認証ではセキュリティレベルに限界が出てきたからこそ、より認証強度の強い多要素認証が求められるようになりました。

ウィズコロナに合わせた働き方への要対応

もう一つ、コロナ禍をきっかけにリモートワークなどの働き方の多様化が進んだことも、多要素認証が求められる大きな理由と言えます。

従来型のオフィス通勤を前提とした就業環境と異なり、リモートワーク下では多様なネットワーク環境の利用やシャドーITのリスクを加味する必要があるので、その分セキュリティレベルも高く設定する必要があります。

よって、各ITサービスを利用する際の当人認証においても、認証強度をより一段と高める必要があります。

※ウィズコロナに合わせた次世代セキュリティとなる「ゼロトラスト」については、以下の記事をご参照ください。

関連記事：DXを進めるうえで不可欠なゼロトラストとは？次世代のセキュリティを考える

最後に、企業が多要素認証手法を選定する際のポイントについて解説します。

認証強度が強ければいいというわけではない

セキュリティ強度を高めるとなったら「なるべく多くの認証要素・認証段階を設定した方が良い」と考える方は多いでしょう。

しかし、認証強度が強ければいいとは限りません。認証強度を強くするということは、それだけユーザーに関する情報を企業が保持するということになります。必要以上の強度を設定しようとすると、企業は必要以上のユーザー情報を保持することになるので、サイバー攻撃等による流出時のリスクもそれだけ高まることになります。

また認証要素や認証段階を増やすほどに、一般的にユーザビリティは低下します。よって、求められる認証強度と許容される認証プロセスのバランスを加味して設計を進める必要があります。

自社の運用に沿っているかの確認

多要素認証を考える際に、自社の運用に沿っているかを確認するのは大前提で必要となります。

たとえば、業務でスマホを利用できない業種業態の場合は、SMSによる所有物認証は使えません。また、顔による生体認証を導入しようとしても、スマホやカメラ付きパソコンが十分に従業員に行き届いていない場合は、同じく導入以前にハードを整備する必要があります。

このように、自社の運用内容やデバイス状況等を事前にチェックしてから、認証強度を設計するようにしましょう。

デバイス紛失リスクを加味する

多要素認証の中でも「所有物認証」を設定する場合、該当の所有物が紛失するリスクを加味する必要があります。

たとえば、先述したスマホのSMSを使った所有物認証や、生体情報を読み取るデバイスを利用している場合に、仮に盗難にあってデバイスが盗まれてしまうと、社内における認証プロセスが完了しなくなります。よって、そのようなケースにおける運用プロセスを別で設計・共有する必要があります。

また、盗まれたデバイスを悪用するケースも考えられることから、遠隔でロックをかけるなどの事前設定も必要になります。

このように、利用デバイスが紛失した場合を想定したシナリオと対応策を事前に定めることも大切です。

ここまでお伝えした通り、認証強度は強ければいいというものではありません。自社の運用に沿う形で多要素認証を実装して、セキュリティレベルの向上を図りましょう。

なお、コネクシオでは以下のとおり、さまざまな観点でセキュリティ関連記事を配信しているので、こちらも併せてご覧ください。

▶︎Microsoft 365のセキュリティ対策。クラウドサービス活用時の注意点とは？
▶︎セキュリティのPPAP問題。対応策とクラウドストレージ活用
▶︎LINE WORKSのセキュリティ対策！ビジネスチャットの注意点とは
▶︎SASEとゼロトラストの違いを解説！セキュリティ強化を実現するための方法とは