多要素認証(MFA: Multi-Factor Authentication) は、パスワードに加えてもう一つ以上の「証拠」を求めることで、なりすましを大幅に防ぐ仕組みです。パスワード漏洩が日常化した現在、MFA は SSO とセットで導入すべき必須対策です。
認証の3要素
MFA は、異なる種類の「要素」を組み合わせることに意味があります。
- 知識情報(Something you know) — パスワード、PIN
- 所持情報(Something you have) — スマホ、ハードウェアキー、ワンタイムトークン
- 生体情報(Something you are) — 指紋、顔、虹彩
同じ「知識情報」を2つ重ねても多要素にはなりません。異なる要素を掛け合わせるのがポイントです。
代表的な MFA 方式(弱い→強い)
| 方式 | 概要 | 注意点 |
|---|---|---|
| SMS ワンタイムコード | 電話番号宛にコード送信 | SIM スワップ等に弱い |
| 認証アプリ(TOTP) | Google Authenticator 等 | 比較的安全・無料 |
| プッシュ通知承認 | スマホアプリで「承認」 | MFA 疲労攻撃に注意 |
| FIDO2 / セキュリティキー | 物理キー・パスキー | フィッシング耐性が最も高い |
フィッシング耐性という観点
近年は「MFA を突破するフィッシング」が増えています。SMS や単純なプッシュ通知は突破されうるため、フィッシング耐性のある FIDO2 / パスキー への移行が推奨されています。
MFA 疲労攻撃(MFA fatigue)に注意
近年増えているのが、攻撃者がプッシュ通知を連打してユーザーが根負けで「承認」を押すのを狙う「MFA 疲労攻撃」です。実際に大企業の侵害事例も報告されています。
対策:
- 番号マッチング(画面の数字を入力させる方式)を有効化
- 単純な「承認/拒否」プッシュから、よりフィッシング耐性のある方式へ移行
- 異常な連続要求を検知・ブロック(SSO障害・監査・運用)
導入の進め方
まとめ
- MFA は「異なる要素」の組み合わせが鍵
- SMS より認証アプリ、認証アプリよりパスキー
- MFA 疲労攻撃には番号マッチングとフィッシング耐性方式で対抗
- SSO(IdP)に MFA を一元適用すると運用が楽になる
全体設計は 企業SSO完全ガイド を参照してください。