Azure Managed Service Column ＜Azure運用コラム＞多要素認証とは？二段階認証との違いと、Azureにおける多要素認証の実現方法を解説

クラウド時代に合った認証方法とは？セキュリティと利便性向上につながる方法を解説

近年、クラウドサービスやSNSなど、Webサービスの利用が増えるにつれ、悪意のある第三者による不正アクセスや情報漏えいなどの被害も増えています。これまでのパスワードによる個人認証だけではセキュリティを確保することが難しくなっており、このような状況下で注目されているのが多要素認証です。

多要素認証とは、Webサービスなどにログインする際に、複数の異なる認証要件を要求することにより、セキュリティレベルを高める方法です。

本記事では、多要素認証の概要やメリットを解説した上で、Microsoft Azureで多要素認証を実現する方法について解説します。

1. 多要素認証とは

近年、不正アクセスの被害が増加し続けている状況にあり、パスワード認証の限界が叫ばれています。そのような背景もあり、不正アクセス対策として多要素認証を採用する企業が増えつつありますが、多要素認証とはどのようなものでしょうか。まず、多要素認証の概要とメリット、二段階認証との違いについて解説します。

1.1 多要素認証（MFA）とは

多要素認証（MFA：Multi Factor Authentication）とは、SNSやクラウドサービスなどのWeb上のサービスにログインする際、2つ以上の認証要素を用いることで本人確認を行う方法のことを指します。認証要素には下記の3種類があり、これらのうち最低2要素以上を組み合わせることで、ログインユーザーが登録されている本人であることを確実に認証することができ、より安全性の高いログインが可能となります。

• 知識情報
• 所持情報
• 存在情報

　

1.1.1 知識情報

知識情報とは、ユーザー本人のみが知っている情報を指します。例えば、ID、パスワード、秘密の質問などが該当します。

　

1.1.2 所持情報

所持情報とは、ユーザー本人のみが所持しているものに付随する情報です。例えば、ICカード、携帯電話やスマートフォンを使ったワンタイムパスワード・メール・SMSによる認証、USBトークンなどが挙げられます。

　

1.1.3 存在情報

存在情報とは、ユーザー本人の特徴を指します。例えば、指紋、静脈、顔、虹彩などが該当します。

1.2 多要素認証のメリット

多要素認証には。下記の通り二つのメリットがあります。

• セキュリティの向上
• 利便性の向上

　

1.2.1 セキュリティの向上

存多要素認証の大きなメリットはセキュリティの向上です。これまでID／パスワードによる本人認証のみを採用しているサービスでは、ID／パスワードが漏れた場合はそれだけで不正アクセスによる個人情報流出やクレジットカードの不正利用の被害に遭う可能性があります。また、同じパスワードの使い回しや、類推可能なものを使用しているユーザーも多く、ひとつのID/パスワードが漏れてしまうと被害が拡大する恐れもあります。

　

1.2.2 利便性の向上

もうひとつのメリットは利便性の向上です。複雑なパスワードの定期的な変更やリセット運用など、煩雑で面倒なパスワード管理から解放されます。また、スマートフォンの普及により所持認証、生体認証を身近なデバイスで行いやすくなったことも、ユーザーの利便性の向上に寄与していると言えるでしょう。

1.3 多段階認証との違い

多要素認証と混同しがちなものに「多段階認証」があります。名称は似ていますが、多要素認証と多段階認証は全くの別物です。多段階認証は、2回以上認証を行うという点では多要素認証と同じですが、多段階認証は、3要素のうち異なる2要素を使わなくても成り立つ点が大きく異なります。例えば、パスワードと秘密の質問など、知識情報による認証を2度使用しても成り立つため、セキュリティ強度は多要素認証よりも低くなります。

2. Azure Active Directoryとは

多要素認証を実現する方法はさまざまですが、Microsoft Azureではどのような方法があるのでしょうか。ここでは、Azureで多要素認証を実現するためのサービス、Azure Active Directoryの概要について解説します。

2.1 Azure Active Directoryとは

Azure Active Directoryとは、マイクロソフトが提供するクラウドベースのID管理・アクセス管理サービスです。次のリソースへの認証・認可とサインイン（アクセス）機能を提供します。

• Azureサービス、Microsoft365、その他外部のSaaSアプリケーションなど
• 企業が独自に開発したアプリケーションなどの内部リソース

マイクロソフトは従来からオンプレミス型のActive Directoryを提供しており、世界中で利用されています。Azure Active Directoryは従来のActive Directoryをクラウドサービスの認証に対応させたサービスと言えます。Azure Active Directory はアクセス制御やシングルサインオンなど多くの機能を持っていますが、そのひとつとして、Azure AD Multi-Factor Authenticationという多要素認証の機能を持っています。

Azure AD Multi-Factor Authenticationにより、ユーザーがサインインする際、パスワードを用いた認証に加え、スマートフォンや携帯電話へのSMSの送信、あるいはスマートフォンアプリを用いて確認を行うことで、多要素認証を利用することができます。

2.2 Azure Active Directoryの料金体系

Azure Active Directoryは下記4つの料金プランが用意されています。

• Azure Active Directory Free
• Office365
• Azure Active Directory Premium P1
• Azure Active Directory Premium P2

Azure Active Directory Freeは無料で利用できるが基本的な機能に限定されています。他のプランは有料ですが、プランによって利用できる機能に制約があります。なお、全ユーザーがAzure AD Multi-Factor Authenticationによる多要素認証を利用するには、Azure Active Directory Premium P1か、Azure Active Directory Premium P2を利用する必要があります。（※1）

　

※1 参考：Azure AD Multi-Factor Authentication の機能とライセンス

3. Azure Active Directoryによる多要素認証の流れ

Azure Active Directoryによってどのように多要素認証が実装されるのでしょうか。最後に、Azure AD Multi-Factor Authentication による認証の流れについて解説します。

Azure AD Multi-Factor Authentication を利用すると、ユーザーがアプリケーションまたはサービスにサインインする際に、MFA プロンプトが表示され、登録されている追加の検証形式によって追加認証を求められます。Azure AD Multi-Factor Authenticationでは、次のような追加の検証形式を使用できます。

• Microsoft Authenticator アプリ
• OATH ハードウェア トークン (プレビュー)
• OATH ソフトウェア トークン
• SMS
• 音声通話

本人以外のユーザーが、パスワードを不正入手してサインインしようとしても、追加の認証コードが送られるのは、正当なユーザーが持つスマートフォンまたは携帯電話であるため、正しい認証コードを入力することができないため、不正アクセスを防止することができます。

4. まとめ

SNSやクラウドサービスは便利なサービスであるため、多くのユーザーが利用するようになりました。しかし、ユーザーが増えるにつれ、不正アクセスや情報漏えいなどのセキュリティ被害が増えていることも事実です。

サービス提供側でもセキュリティ向上のために様々な策を講じていますが、利用者側でも、このようなセキュリティ被害を避けるために多要素認証について正しい知識を身に着け、適切な認証方法を利用することが重要です。

Tag： 多要素認証

• 

  Azure Application Gatewayとは？負荷分散の考え方とWebアプリケーションの負荷分散について解説

• 

  Azure Stackとは？企業のポリシーに合わせたハイブリッド・クラウドの構築方法を解説