この記事は、サイバーセキュリティ基礎講座の第5回です。
前回は、【第4回】パスワードはなぜ破られるのか|使い回し・漏洩・推測を防ぐ基本をわかりやすく解説
で、パスワードが漏れる理由や使い回しの危険性を整理しました。
今回は、パスワードだけに頼らないための仕組みである多要素認証を扱います。
シリーズ全体は、【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶからご覧ください。
「私はパスワードはちゃんと設定しているから大丈夫だよ。」
そう思っていても、少し不安になることはありませんか?
「どこかのサービスからパスワードが漏れていないか?」
「偽サイトに入力してしまわないか?」
「同じパスワードを昔どこかで使っていなかったか?」
「知らないうちにログインされることはないか?」
パスワードは、デジタル空間の大切な鍵です。
ですが、パスワードだけでは守りきれない場面があります。
そこで重要になるのが、多要素認証です。
多要素認証とは、ログインするときに、パスワードだけでなく、別の確認を追加する仕組みです。
たとえば、
- 認証アプリのコード
- スマホへの通知
- SMSコード
- 指紋や顔認証
- セキュリティキー
- パスキー
こうしたものを組み合わせます。
CISAは、多要素認証について、ユーザー名とパスワードだけの場合よりも、アカウントを保護しやすくすると説明しています。
つまり、多要素認証は、パスワードが漏れたときの被害を止めるための重要な防御層なのです。(CISA)
今回は、「多要素認証とは何か」を見ていきます。
「なぜパスワードだけでは足りないのか?」
「SMSコードや認証アプリには、どんな違いがあるのか?」
「多要素認証を設定しても、なぜだまされることがあるのか?」
「あなたは、どのサービスから設定すればよいのか?」
こうした問いを、防御の層という視点から整理していきます。
第1章 多要素認証とは何か
多要素認証とは、ログインするときに複数の確認要素を組み合わせる仕組みです。
英語では、Multi-Factor Authentication。
略して、MFAと呼ばれます。
パスワードだけでログインする場合、必要なのは「知っている情報」です。
つまり、パスワードを知っていれば入れてしまいます。
一方で、多要素認証では、それに別の確認を加えます。
- あなたが知っているもの
- あなたが持っているもの
- あなた自身であること
たとえば、パスワードは「あなたが知っているもの」です。
スマホやセキュリティキーは「あなたが持っているもの」です。
指紋や顔認証は「あなた自身であること」に近い要素です。
NISTのデジタルアイデンティティガイドラインでも、認証要素は、記憶している秘密情報、所有している認証器、生体情報などの要素として整理されています。(NIST Pages)
つまり、多要素認証はこういう考え方です。
パスワードを知っているだけではなく、
- スマホを持っているか?
- 本人の端末なのか?
- 追加の確認を通れるか?
そこまで確認する。
多要素認証は、ログインの入口にもう一枚の扉を作る仕組みなのです。
第2章 なぜパスワードだけでは足りないのか
パスワードは大切です。
ですが、パスワードには弱点があります。
- 漏れることがある
- 使い回されることがある
- 推測されることがある
- 偽サイトに入力してしまうことがある
- 他人に見られることがある
- 過去の漏洩データで試されることがある
前回扱ったように、パスワードは「文字列」です。
一度知られてしまうと、コピーできます。
別の場所で試すこともできます。
攻撃者がパスワードを知った場合、パスワードだけのログインでは、そのまま入られる可能性があります。
ですが、多要素認証があると、状況が変わります。
パスワードが知られても、追加の確認が必要になるからです。
たとえば、
- ログイン時にスマホ通知の承認が必要なら、攻撃者はパスワードだけでは入れない
- 認証アプリのコードが必要なら、パスワードだけでは足りない
- セキュリティキーやパスキーが必要なら、さらに突破しにくくなる
Microsoftも、多要素認証は、パスワードが侵害された場合でも攻撃者がデータやお金にアクセスしにくくする方法のひとつだと説明しています。(マイクロソフトサポート)
つまり、多要素認証は「パスワードを強くする」仕組みではありません。
パスワードが破られたときに、被害をそこで止める仕組みなのです。
第3章 多要素認証にはどんな種類があるのか
多要素認証には、いくつかの種類があります。
よく見かけるのは、次のようなものです。
- SMSコード
- メールコード
- 認証アプリのワンタイムコード
- スマホへのプッシュ通知
- 指紋や顔認証
- セキュリティキー
- パスキー
- バックアップコード
SMSコードは、スマホの電話番号に届く確認コードです。
メールコードは、登録したメールアドレスに届く確認コードです。
認証アプリは、一定時間ごとに変わるコードを表示します。
スマホへのプッシュ通知は、ログインを承認するかどうかを端末上で確認します。
指紋や顔認証は、端末のロック解除や本人確認に使われます。
セキュリティキーは、物理的なキーを使ってログインを確認します。
パスキーは、パスワードを使わず、端末とサービスの間で安全に認証する仕組みです。
Googleも、2段階認証やパスキーなど、より安全なサインイン方法を提供していると説明しています。(Safety Center)
- それぞれに特徴がある
- 使いやすいものもある
- より安全性が高いものもある
- 導入しやすいものもある
大切なのは、「どれが完璧か」ではありません。
あなたが使える形で、パスワードだけの状態から一歩進めることです。
第4章 SMSコードは便利だが、万能ではない
多要素認証としてよく使われるのが、SMSコードです。
ログインすると、スマホに数字のコードが届きます。
そのコードを入力すると、ログインできます。
とてもわかりやすい仕組みです。
そのため、多要素認証の入口としては使いやすい方法です。
ただし、SMSコードは万能ではありません。
- 電話番号に依存する
- 電波や通信状況に左右される
- SMSを受け取れない場合がある
- フィッシングで入力させられることがある
- 端末紛失時に困ることがある
特に注意したいのは、フィッシングです。
偽サイトが、パスワードだけでなくSMSコードまで入力させようとすることがあります。
この場合、あなたが本物だと思ってコードを入力すると、そのコードが攻撃者に渡ってしまう可能性があります。
つまり、SMSコードがあるから絶対安心、ではありません。
ですが、パスワードだけよりは守りやすくなります。
何も設定していないよりは、SMSコードでも設定した方がよい場面は多いです。
大切なのは、SMSコードを「最終防衛線」と思わないことです。
便利な一歩として使いながら、重要なアカウントでは認証アプリ、セキュリティキー、パスキーなども検討する。
このバランスが大切なのです。
第5章 認証アプリとプッシュ通知の違い
多要素認証では、認証アプリやスマホ通知もよく使われます。
認証アプリは、スマホ上に一定時間だけ有効なコードを表示します。
たとえば、30秒ごとに数字が変わるような仕組みです。
プッシュ通知は、ログインしようとしたときに、スマホへ通知が届きます。
そこで「承認」や「拒否」を選びます。
それぞれの特徴を整理すると、こうなります。
- 認証アプリ
- 一定時間だけ使えるコードを表示する
- プッシュ通知
- ログインを承認するかどうかをスマホで確認する
- SMSコード
- 電話番号宛てに確認コードが届く
- セキュリティキー
- 物理キーや端末を使って本人確認する
- パスキー
- パスワードを使わず、端末側の認証でログインする
認証アプリは、SMSより電話番号に依存しにくい利点があります。
プッシュ通知は、入力が少なく使いやすい利点があります。
一方で、プッシュ通知には注意点もあります。
何度も通知が来ると、うっかり承認してしまうことがあります。
自分がログインしていないのに通知が来た場合は、承認してはいけません。
「今ログインしようとしているのは自分か?」
ここを確認する必要があります。
多要素認証は便利ですが、最後に判断するのは人間です。
そのため、仕組みと判断の両方を整える必要があるのです。
第6章 多要素認証もだまされることがある
多要素認証を設定すると、かなり安全になります。
ですが、完全に安心してよいわけではありません。
なぜなら、攻撃者は多要素認証そのものを避けたり、利用者をだましたりしようとするからです。
たとえば、次のようなことがあります。
- 偽サイトで認証コードまで入力させる
- スマホ通知を何度も送り承認させようとする
- サポート担当を装ってコードを聞き出す
- 端末を失ったときの復旧手続きを悪用する
- 古い認証方法や設定の弱点を狙う
ここで大切なのは、多要素認証を「魔法の盾」と考えないことです。
多要素認証は強い防御ですが、それだけで終わりではありません。
- 怪しいリンクからログインしない
- 公式アプリやブックマークから開く
- 自分が操作していないログイン通知は承認しない
- 認証コードを他人に教えない
- バックアップコードを安全に保管する
こうした行動も必要です。
NISTのガイドラインでも、認証器の種類や認証保証レベルを分けて扱っており、どの認証方法を使うかはリスクに応じて考える必要があります。(NIST Pages)
つまり、多要素認証はゴールではありません。
パスワードだけに頼らないための、重要な防御の層なのです。
第7章 フィッシングに強い認証とは何か
多要素認証の中には、フィッシングに強い方式があります。
たとえば、セキュリティキーやパスキーです。
これらは、偽サイトにコードを入力する方式とは違います。
サービスと端末の間で、正しい相手かどうかを確認する仕組みに近いものです。
そのため、偽サイトにだまされにくくなります。
もちろん、仕組みを理解し、正しく設定することは必要です。
ですが、次のような重要なアカウントでは、より強い認証方法を検討する価値があります。
- メール
- 銀行
- クレジットカード
- クラウド
- 仕事用アカウント
- 管理者アカウント
- SNSの重要アカウント
特にメールは重要です。
なぜなら、多くのサービスのパスワード再設定先になるからです。
メールが乗っ取られると、他のアカウントの復旧や再設定にも影響することがあります。
そのため、最初に守るべきなのは、メールです。
次に、お金や仕事に関わるアカウントです。
Googleは、2段階認証やパスキーなど、アカウントをより安全に守るための認証手段を提供しています。
Microsoftも、組織のサインイン保護を強化する方法として多要素認証を位置づけています。(Safety Center)
多要素認証は、全部を一気に完璧にする必要はありません。
重要なアカウントから、順番に強くしていくことが大切なのです。
第8章 多要素認証を設定するときの注意点
多要素認証は、設定すれば終わりではありません。
使えなくなったときの備えも必要です。
例えば、
- スマホをなくしたらどうなるか?
- 機種変更したらどうなるか?
- 認証アプリを入れていた端末が壊れたらどうなるか?
- バックアップコードをなくしたらどうなるか?
ログインできなくなることがあります。
そのため、設定時には次の点を確認しておきます。
- バックアップコードを安全に保管する
- 複数の認証方法を登録できるか確認する
- 機種変更時の移行方法を確認する
- 信頼できる端末を管理する
- 使っていない端末を削除する
- 復旧用メールアドレスを確認する
- 緊急時の連絡先を確認する
多要素認証は、攻撃者を防ぐための仕組みです。
ですが、あなた自身が入れなくなってしまうと困ります。
そのため、防御と復旧の両方を考える必要があります。
これは、サイバーセキュリティ全体に共通する考え方です。
- 守る
- 気づく
- 止める
- 戻す
多要素認証も、設定だけでなく、戻し方まで考えておくことが大切なのです。
第9章 多要素認証を見る5つの問い
多要素認証を設定するときは、次の5つの問いを持つと整理しやすくなります。
「パスワードだけでログインできる状態になっていないか?」
「どの認証方法を使っているのか?」
「偽サイトでコードを入力してしまうリスクはないか?」
「スマホを失くしたとき、復旧できるのか?」
「どのアカウントから優先して設定するのか?」
たとえば、メールアカウントならこうです。
- パスワードだけでログインできる状態になっていないか?
- もしそうなら、優先的に多要素認証を設定する
- どの認証方法を使っているのか?
- SMSなのか
- 認証アプリなのか
- プッシュ通知なのか
- パスキーなのか
- 偽サイトでコードを入力してしまうリスクはないか?
- メールやSMSのリンクからログインしないようにする
- スマホを失くしたとき、復旧できるのか?
- バックアップコードや復旧用メールを確認する
- どのアカウントから優先して設定するのか?
- メール、銀行、クラウド、仕事用アカウントから始める
こうして分けて考えると、多要素認証は「設定したかどうか」だけではありません。
- どの方法か?
- どこに設定するか?
- だまされにくいか?
- 戻せるか?
- 優先順位は何か?
ここまで含めて見ることが大切なのです。
第10章 あなたが今日からできる多要素認証の設定
最後に、あなたが今日からできることを整理します。
まず、すべてのアカウントを一気に設定しようとしなくて大丈夫です。
優先順位をつけます。
最初に設定したいのは、次のアカウントです。
- メール
- 銀行
- クレジットカード
- 通販
- クラウド
- SNS
- スマホ
- 仕事用アカウント
特にメールは最優先です。
多くのサービスのパスワード再設定に使われるからです。
次に、お金に関わるアカウントです。
銀行、クレジットカード、決済サービス、通販サイトです。
次に、個人情報や信用に関わるアカウントです。
SNS、クラウド、写真、仕事用アカウントです。
設定するときは、次の流れで考えます。
- 重要なアカウントを選ぶ
- 公式アプリや公式サイトから設定画面を開く
- 多要素認証を有効にする
- 認証アプリやパスキーを検討する
- バックアップコードを安全に保管する
- 復旧方法を確認する
- ログイン通知が来たときの判断ルールを決める
Googleアカウントでは、2段階認証を設定する手順として、Googleアカウントを開き、セキュリティ関連の項目から2段階認証を有効にする流れが案内されています。(Google ヘルプ)
大切なのは、焦って設定することではありません。
- 公式の入口から開くこと
- 復旧方法を確認すること。
- 自分が使い続けられる方法を選ぶこと。
多要素認証は、面倒を増やすためのものではありません。
あなたのアカウントを、パスワードだけに頼らない形へ変えるための仕組みなのです。
まとめ 多要素認証とは、パスワードの先にあるもう一枚の扉である
多要素認証とは、パスワードに加えて、別の確認を組み合わせる仕組みです。
- パスワード
- 認証アプリ
- SMSコード
- スマホ通知
- 指紋や顔認証
- セキュリティキー
- パスキー
こうした要素を使って、ログイン時の安全性を高めます。
パスワードは大切です。
ですが、パスワードだけでは弱い場面があります。
- 漏れる
- 使い回される
- 偽サイトに入力してしまう
- 過去の漏洩データで試される
多要素認証は、こうしたときに被害を止めるための防御層です。
ただし、多要素認証も万能ではありません。
- 偽サイトで認証コードまで入力させられることがある
- スマホ通知をうっかり承認してしまうこともある
- スマホを失くすと、ログインできなくなることもある
そのため、多要素認証では、設定と同時に次のことも大切です。
- 公式アプリや公式サイトからログインする
- 自分が操作していない通知は承認しない
- 認証コードを他人に教えない
- バックアップコードを安全に保管する
- 復旧方法を確認する
- 重要なアカウントから優先して設定する
多要素認証は、難しい専門家だけの話ではありません。
- メールを守る
- 銀行を守る
- SNSを守る
- クラウドを守る
- 仕事のアカウントを守る
あなたの生活と信用を守るための、現代の基本対策です。
- パスワードだけに頼らない
- もう一枚の扉を作る
それが、多要素認証の役割なのです。
次回は、「パスキーとは何か」を扱います。
「パスキーは、パスワードと何が違うのか?」
「なぜフィッシングに強いと言われるのか?」
「指紋や顔認証だけでログインして、本当に安全なのか?」
「あなたは、どのサービスから使い始めればよいのか?」
こうした問いを、パスワードに頼らない認証の仕組みとして見ていきます。
次回の【第6回】パスキーとは何か|パスワードに頼らないログインの仕組みをわかりやすく解説、シリーズ全体の【まとめ】サイバーセキュリティ基礎講座まとめ|攻撃の仕組みと防御の基本を体系的に学ぶもあわせてご覧ください。
ここまでお読みいただきありがとうございました。
Veritas Labでは、国際情勢・歴史・科学・心理学・サイバーセキュリティを横断しながら、複雑な世界の構造を読み解いています。
このブログの考え方や、初めての方におすすめの記事は「Veritas Labの歩き方」にまとめています。
もしご興味あればお読みいただけると嬉しいです。
あわせて読みたい本
今回も特に本の紹介はありません。
多要素認証は、書籍で学ぶよりも、あなたが実際に使っているサービスの公式ヘルプを確認しながら設定する方が役に立ちます。
特に、メール、銀行、SNS、クラウド、スマホの設定画面を確認し、多要素認証が有効になっているかを見直すことが優先です。
参考情報
- CISA「More than a Password」
- 多要素認証が、ユーザー名とパスワードだけの場合よりもアカウントを保護しやすくすることを確認できます。(CISA)
- CISA「Multifactor Authentication」
- 多要素認証が、本人確認のために2つ目の方法を要求し、データやアプリケーションへの不正アクセスを防ぎやすくすることを確認できます。(CISA)
- CISA「Turn On MFA」
- 多要素認証が、ログイン時に追加の確認を行い、アカウントを守るための基本対策として紹介されています。(CISA)
- NIST「Digital Identity Guidelines SP 800-63B」
- 認証要素や認証保証レベル、多要素認証の考え方を確認できます。(NIST Pages)
- Google「Turn on 2-Step Verification」
- Googleアカウントで2段階認証を有効にする公式手順を確認できます。(Google ヘルプ)
- Microsoft「What is multifactor authentication」
- 多要素認証が、パスワードだけよりもアカウント保護を強化する仕組みであることを確認できます。(マイクロソフトサポート)
