テックエイド
Udemy共通クーポン:TA2606LEARN01 詳細を見る
IT基礎

多要素認証とは?SMS・認証アプリの仕組みをやさしく解説

#セキュリティ #認証 #IT基礎 #非エンジニア向け #FEX #IT営業
多要素認証とは?SMS・認証アプリの仕組みをやさしく解説

「ログイン時にSMSでコードが届きます」「2段階認証を設定してください」。最近のサービスでよく見かけるようになったこの仕組み、正式には「多要素認証(MFA)」と呼ばれます。なぜ必要で、どんな仕組みなのかを整理しましょう。

この記事でわかること

  • 多要素認証(MFA)とは何か
  • パスワードだけでは不十分な理由
  • MFAの主な種類(SMS・認証アプリ・ハードウェアキーなど)
  • 2段階認証と多要素認証の違い
  • IT現場でのMFAの使われ方

多要素認証(MFA)とは?

多要素認証(Multi-Factor Authentication / MFA)とは、ログイン時に複数の異なる種類の証明を組み合わせる認証方式のことです。

「2要素認証(2FA)」「2段階認証」とも呼ばれることがありますが、厳密には少し意味が異なります(後述)。

認証の要素は大きく3種類あります。

  1. 知識(Something you know):パスワード、PINなど
  2. 所有(Something you have):スマートフォン、ICカードなど
  3. 生体(Something you are):指紋、顔など

これらのうち、2種類以上を組み合わせるのが多要素認証です。

なぜパスワードだけでは不十分なのか

パスワードだけの認証には弱点があります。

  • パスワードが漏えいしたとき(フィッシング詐欺、リスト型攻撃など)、誰でもログインできてしまう
  • 使い回しをしている場合、他のサービスで漏えいしたパスワードを使われるリスクがある
  • 推測しやすいパスワードを設定している人は少なくない

仮にパスワードが盗まれたとしても、スマートフォンへのSMSコードや認証アプリも必要であれば、不正ログインを防げます。

身近な例で考えると

銀行のATMを使う場面を想像してください。

  • キャッシュカード(持っているもの)→ 所有要素
  • 暗証番号(知っているもの)→ 知識要素

キャッシュカードだけでも、暗証番号だけでも引き出せない仕組みです。これが多要素認証の考え方と同じです。

MFAの主な種類

SMSコード(ワンタイムパスワード) ログイン時に登録した電話番号にSMSで一時的なコードが届き、そのコードを入力します。手軽に導入できますが、SIMスワップ攻撃などに弱い面もあります。

認証アプリ(TOTP) Google AuthenticatorやAuthyなどのアプリが30秒ごとに新しいコードを生成します。SMSよりも安全性が高く、オフラインでも使えます。

ハードウェアセキュリティキー YubiKeyなどの物理的なデバイスをPCに挿して使う方式です。フィッシングに強く、セキュリティレベルが最も高いです。

プッシュ通知 スマートフォンに「ログインを許可しますか?」という通知が届き、許可・拒否を選ぶ方式です。Microsoft Authenticatorなどが対応しています。

2段階認証と多要素認証の違い

「2段階認証」は確認が2ステップあることを意味し、必ずしも異なる種類の要素を組み合わせているわけではありません。

  • パスワード入力後、さらに別のパスワードを入力 → 2段階認証だが、どちらも「知識要素」のため多要素認証とは言えない
  • パスワード入力後、SMSコードを入力 → 「知識+所有」で多要素認証

日常会話では混同されることが多いですが、セキュリティの文脈では区別して使われます。

IT現場ではどう使われるか

  • 業務システムへのログイン(Active Directory + 認証アプリ)
  • クラウドサービス(AWS、GCPのコンソールログイン)
  • GitHubなど開発ツールへのアクセス
  • 全社員へのMFA義務化(セキュリティポリシーの一環)
  • リモートワーク時のVPN接続前の認証

初心者がつまずきやすいポイント

「面倒だから無効にしたい」は危険 MFAを無効にしたいという要望がユーザーから来ることがありますが、セキュリティリスクが大幅に上がります。利便性とセキュリティのバランスを考慮して設計することが重要です。

スマートフォンを機種変更するときに注意 認証アプリは機種変更時に引き継ぎ作業が必要です。事前に移行手順を確認しておかないと、ログインできなくなるケースがあります。

バックアップコードを保管しておく 多くのサービスでは、スマートフォンを紛失した際のバックアップコードが発行されます。これを安全な場所に保管しておくことが大切です。

関連用語

  • TOTP(Time-based One-Time Password):時刻ベースの使い捨てパスワード
  • SSO(シングルサインオン):一度の認証で複数サービスを使える仕組み
  • フィッシング:偽のログインページに誘導してIDとパスワードを盗む攻撃
  • リスト型攻撃:他サービスで漏えいしたIDとパスワードの組み合わせを試す攻撃

仕事で使うときの注意点

セキュリティポリシーとしてMFAを全社員に義務化する場合、「使いにくい」という不満が出ることがあります。導入時には操作手順書の提供や、ヘルプデスクの準備を行うと、現場のストレスを減らせます。

さらに学ぶなら

MFAを含むセキュリティの基本は、FEX-105「セキュリティ入門」で体系的に学べます。ビルの入退室管理というたとえで、パスワード・暗号・認証の仕組みをまとめて解説しています。

関連する記事