#例えて学ぶセキュリティ　多要素認証の必要性

2023年2月14日 17:02

こんにちは、新米セキュリティエバンジェリストの古市です！
今回の「#例えて学ぶセキュリティ」では、認証の要素を複数組み合わせて行う「多要素認証」について取り上げております。昨今セキュリティ観点から多要素認証の利用が求められているため、その必要性について、シンデレラを例に説明していきたいと思います。

そもそも、認証とは？

認証
対象の真正性を確かめること

一般的に広く認識されている認証は、二者が相対にあり、相手が本物であるかを確認するといった相手認証です。この時、認証対象である相手が、認められた正当な者であるかということ、つまり「真正性」を確認することが重要です。その認証にはいくつか方法があります。
認証の要素として、IDやパスワード等の知識情報を使用する「知識認証」、スマホや社員証等の所有物情報を使用する「所有物認証」、そして声や指紋、静脈等の生体情報を使用する「生体認証」の3つの方法です。

恐らく皆さんが最も馴染みある認証方法は、IDやパスワードを入力する知識認証ではないでしょうか？

対象の真正性を確かめるために行われる認証ですが、認証情報の漏えい／窃取による認証の不正な実施等の弱点も存在します。そのため、認証の要素を複数組み合わせて認証の精度を高めること（多要素認証）が求められています。

多要素認証
認証の要素（知識情報、所有物情報、生体情報）を2つ以上用いて行われる認証のこと

例えて学ぶ多要素認証の必要性

さて、「多要素認証の必要性」について、シンデレラを探す王子の行動に例えて説明していきたいと思います。

ストーリー（概要）
義母と義姉に虐げられる主人公「シンデレラ」が、日ごろの善行によって魔法使いから魔法をかけられ、一国の王子と結婚する、サクセスストーリー。

王子は舞踏会で素敵な時間を過ごしたシンデレラのことが忘れられません。そのため、シンデレラを見つけ出し、求婚するために町へと赴きます。
しかし、その話を聞きつけて、町の女性は我こそはそのシンデレラであると名乗り出ます。（そりゃ王妃になりたいもんっ！）

1つの要素しか使わなかったら…偽シンデレラと結婚！？

王子が『シンデレラ』というID情報、『舞踏会で踊った』という秘密（パスワード）情報を用いてシンデレラか否かの認証を試みる、「知識認証」のみでシンデレラかどうかの判断を行ったとしましょう。
この時の『舞踏会で踊った』という情報は、公の場で行われたために、その場にいた第三者が知りえる情報となってしまいました。そのため、シンデレラを装って、認証を突破しようとする人が出てきてしまい、王子はその偽物をシンデレラと勘違いして、結婚してしまうことが考えられます。

複数の要素を使った「多要素認証」なら…真（シン）デレラと結婚！！

さて、そこで登場するのが『ガラスの靴』です。（⇐王子のファインプレー）実際王子は、先ほどの知識認証に加え、ガラスの靴を用いて、足のサイズという生体認証を加えた認証を実施しています。

知識情報そして生体情報と、認証の要素を複数用いて認証を行ったことで、王子は、真デレラ（ウマい🐴）を見つけ出し、結婚することができました。

さいごに

シンデレラでは、王子のファインプレー（多要素認証の実施）によって、めでたしめでたしの結末となりました。
もしここで、生体認証の実施（ガラスの靴を履かせる）を行わなかったら？
王子は偽の認証情報で偽シンデレラと結婚し、一生を棒に振ることとなっていたことでしょう…
このように、認証は複数の要素を組み合わせることで、精度の高い真正性の確認が行えます。そのため多要素認証が主流となっている、また推奨されているということ理解いただけたでしょうか？
ここまで読んでいただき、ありがとうございました。
また次回の「 #例えて学ぶセキュリティ」でお会いしましょう！