ソリューション
優れたオンライン体験を提供
DDoS攻撃を軽減悪意のあるボット乱用の阻止インターネットアプリケーションを高速化アプリケーションの可用性を確保Web体験を最適化するオンデマンドでビデオをストリーミング
従業員のアプリケーションとデバイスを保護する
アプリケーションへのゼロトラストアクセスを提供するセキュアアクセスサービスエッジ(SASE)を実装するインターネットにアクセスするユーザーの保護コーポレートネットワークを保護する請負業者のアクセスを安全に管理仮想プライベートネットワーク(VPN)を替えるリモートワーク中の社員を守るブラウザ分離でゼロデイ攻撃を阻止する
 
ネットワークの保護と高速化
L3 DDoS攻撃の軽減Cloudflareでネットワークインフラストラクチャを接続企業ネットワークを変革する
ネットワークエッジでコードを実行
サーバーレスアプリケーションの構築静的WebサイトのデプロイCDNの設定条件付リクエストルーティングを定義する
安全なクラウドの管理
安全でハイブリッドなクラウドとSaaSプラットフォームSSL for SaaSアプリケーションを有効にするクラウドデータ転送コストの削減
Webサイトを登録する
Webサイトの登録または転送
業界
eコマース金融サービスゲーミングHealthcare and Life Sciencesメディア、エンターテイメント公共部門SaaS
公共の利益
選挙キャンペーンアテネプロジェクトガリレオプロジェクトProject Fair Shot
インフラストラクチャについて
アプリケーションとネットワークセキュリティ
DDoS保護WAFボット管理Magic TransitMagic WANRate LimitingSSL/TLSSSL/TLS for SaaS ProvidersCloudflare Spectrumネットワーク相互接続CDNDNSArgo Smart Routing負荷分散Stream配信China NetworkWaiting Room
Cloudflare for Teams
Cloudflare for TeamsAccessゲートウェイブラウザ分離
開発者向け
サーバーレスアプリケーション
Cloudflare WorkersCloudflare Workers KV
ドメイン登録
Cloudflare Registrar
Webサイトの開発
Cloudflare PagesCloudflare Stream
SaaS Developers
Cloudflare for SaaS
すべての人のために
1.1.1.11.1.1.1 with WARP (アプリ)1.1.1.1 for Families
インサイト
AnalyticsCloudflare LogsWeb AnalyticsCloudflare Radar
プライバシー
データローカライゼーションコンプライアンス
インフラストラクチャについて
高度なセキュリティ
ボット管理ファイアウォールルールMagic TransitSpectrum(TCP/UDP)SSLWAFCDNDNSImage Resizing負荷分散ストリーミング(ビデオ)
 
インサイト
Analytics
ドメイン登録
Registrar
サーバーレスアプリケーションについて
WorkersクイックスタートCloudflare PagesサンプルWorkersプロジェクトWorkersチュートリアルコマンドライン (Wrangler)ランタイム
Cloudflare for Teams
Cloudflare for Teams
CloudflareのAPIについて調べる
Cloudflare APIAPI認証
ドキュメントハブ
デベロッパー向けドキュメントハブ
リソース
リソースハブホワイトペーパーウェビナーソリューションと製品ガイド導入事例アナリスト
探求
最新情報ネットワークマップ中国のCloudflareGDPR
開始する
Webサイトを登録するウェルカムセンター申し込む
学ぶ
ラーニングセンターセキュリティDDoSボット管理SSLIDとアクセス管理パフォーマンスCDNDNSクラウドサーバーレスネットワーク層
接続
ブログコミュニティ
コンプライアンス
コンプライアンスPrivacy & Data ProtectionPrivacy & Data ProtectionCertificationsTrust & SafetyGDPRLegal Documentation
お問い合わせ
+1 650 319 8930
チャネルおよびアライアンスパートナー
パートナーネットワークパートナーポータル
テクノロジーパートナー
概要分析パートナー帯域幅アライアンスEndpoint Security Partnerships相互接続パートナーシップNetwork On-ramp Partnershipsピアリングポータル
プラン別の価格設定
FreeProBusinessEnterprise
比較と検討
プラン選びで、何かお困りですか?アドオンすべてのプランを比較する

多要素認証(MFA)とは?

多要素認証は、アプリケーションやデータベースへのアクセスを許可する前に、その人物の1つのID情報だけでなく、複数の側面をチェックします。単一要素認証よりもずっと安全です。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 多要素認証(MFA)を定義する
  • MFAがパスワードのみを使用するよりも安全である理由を知る
  • さまざまな本人認証要素を探る

関連コンテンツ

二要素認証

アクセス制御

IAMとは?

セキュアWebゲートウェイ

CASBとは?

記事のリンクをコピーする

多要素認証(MFA)とは?

多要素認証(MFA)とは、従来のユーザーIDとパスワードの組み合わせよりもずっと安全な本人認証方法です。通常、MFAはパスワードを組み込みますが、1つまたは2つのほかの認証要素も組み込みます。二要素認証(2FA)はMFAの一種です。

MFAは、Identity and Access Management(IAM)の重要な部分であり、シングルサインオン(SSO)ソリューション内で実施されることが多いです。

認証要素とは?

ユーザーにソフトウェアアプリケーションやネットワークへのアクセス権限を付与する前に、本人認証システムは、ユーザーが本人であることを確認するためにユーザー固有の特性に基づいてユーザーを評価します。こうした特性を「認証要素」とも呼びます。

次の認証要素が、最も広く使用されています。

  1. 知識情報:ユーザーが知っていること
  2. 所有情報:ユーザーが持っているもの
  3. 本人の特徴:ユーザー自身の身体的特徴

MFAとは、2つ以上の認証要素を使用することを指します。2つの認証要素のみを使用するMFAのことは、二要素認証(2FA)または2ステップ認証とも呼びます。三要素認証はMFAのもう1つの形態です。

三要素認証の実例にはどのようなものがあるか?

  • 知識情報(ユーザーが知っていること):この認証要素は、ユーザー名とパスワードの組み合せのように、本人だけが持っている知識情報です。そのほかの種類の知識要素には、秘密の質問、ID番号、社会保障番号などがあります。「シークレットハンドシェイク」もユーザーが知っていることになります。
  • 所有情報(ユーザーが持っているもの):この認証要素は、物理的なトークン、デバイス、または鍵の所有を指します。最もわかりやすい例は、家に入るのに物理的な鍵を使用することです。コンピューティングの世界では、キーフォブ、USBデバイス、あるいはスマートフォンといった物になります。
    多くの現代のMFAシステムは、アカウントにアクセスするために、ユーザーのスマートフォンにショートメッセージにて送信した一時的なコードをユーザーに入力するよう求めます。そうすることで、ユーザーしか持っていないスマートフォンをユーザーが持っていることが分かるので本人確認に役立ちます(攻撃者がユーザーのSIMカードを乗っ取った場合を除く)。
  • 本人の特徴(ユーザー自身の身体的特徴):これは、本人だけにある身体的特徴のことを指します。最もわかりやすい例は、見た目や声で誰であるかを認識することです。人間は日々のやり取りの中で常にこのことを行っています。身分証の写真と照合することは、本人の特徴を確認するもう1つの例です。
    コンピューティングの世界では、この認証要素の一例は、多くの現代のスマートフォンに備わっている機能の1つである顔認証です。ほかの手段には、指紋認証、虹彩認証、静脈認証などがあります。

MFAが単一要素認証より安全な理由

単一要素認証とは、上記のいずれか1つの要素を使用して個人を識別することです。単一要素認証の最も一般的な例が、ユーザー名とパスワードのみを要求することです。

単一要素認証の問題は、攻撃者が1つの認証要素への攻撃に成功さえすればユーザーになりすますことができてしまうという点です。ユーザーのパスワードが盗まれると、ユーザーのアカウントは侵害されます。それに対して、ユーザーがMFAを実施した場合、攻撃者はアカウントにアクセスするのに、パスワード以外のものが必要になります。たとえば、ユーザーが持っているものを盗む必要があります。これは、攻撃者にとってはるかに難しいことになります。

この問題は、ほかの形態の単一要素認証にも当てはまります。銀行がデビット(キャッシュ)カードとPINの代わりに、所有情報であるデビットカードのみで現金を引き出すことを許可したとします。犯罪者はデビットカードを盗むだけで、その口座に入っているお金を盗むことができてしまいます。

MFAを安全にするのは、異なる要素の使用であることを覚えておく必要があります。

あるアプリケーションがユーザーにパスワードのみを入力するよう促し、もう1つのアプリケーションがユーザーにパスワードと秘密の質問の答えを入力するよう促すとします。どちらのアプリケーションがより安全ですか?

厳密に言うと、答えは「どちらでもない」になります:どちらのアプリケーションも知識情報という1つの認証要素のみに依存しています。パスワードと物理的なトークンまたは指紋を必要とするアプリケーションの方が、パスワードと秘密の質問のみを必要とするアプリケーションよりも安全です。

ほかにどのような認証要素があるか?

セキュリティ業界の一部では、上記の3つの認証要素に加えて追加の認証要素を提案または実装しています。実装が行われている例が極めて少ない、こうした認証要素には次のようなものがあります:

位置情報:ログイン時にユーザーがいる場所。たとえば、米国に本社があり、全従業員が米国内で勤務する企業は、従業員のGPSの位置情報にアクセスして、別の国からのログインを拒否できます。

時刻: ユーザーがログインした時刻、通常は、ほかのログインや場所と照らし合わせます。ユーザーがある国でログインし、その数分後に別の国でログインしようとした場合、そのログイン要求は不正なものである可能性が高いです。システムは、通常の営業時間外でのログイン試行を拒否する場合があります。ただし、これは認証要素というよりもセキュリティポリシーとしてみなされます。

この両方を追加の認証要素とみなす場合(議論の余地がありますが)、厳密に言えば、四要素認証や五要素認証も可能になります。両方とも多要素認証に分類されることになります。(そうした強力なセキュリティ対策を講じる場合は、ユーザーに及ぼす影響を加味する必要があります。なぜなら、過度に厳格なセキュリティ対策を講じると、ユーザーは正式なポリシーを回避しようとするからです。)

ユーザーはどのようにアカウントに対してMFAを適用できるか?

現在、多くの消費者向けWebサービスはMFAを提供します。MFAを備えた大部分のアプリケーションは、ユーザーがログイン時にスマートフォンを使用することを必要とする2FAの形態を用いています。2FAを有効化できるかどうか、各アプリケーションのセキュリティ設定を調べてください。また、Cloudflareでは、すべてのCloudflareユーザーは各自のアカウントで2FAを実装することができます。

企業はどのようにMFAを実装できるか?

MFAの実装にはSSOソリューションを使用することが推奨されます。SSOは、すべてのアプリにMFAを実装するための単一箇所を提供しますが、すべてのアプリがMFAをサポートしているわけではありません。

Cloudflare Accessは2FAをサポートしているSSOベンダーと統合します。Cloudflare Accessは、ユーザーができることを制御することで、企業のWebサイトとクラウドアプリケーションを保護するアクセス制御プロダクトです。

セールス

アクセス管理について

ゼロトラストについて

VPNリソース

用語集

ラーニングセンターナビゲーション

© 2021 Cloudflare, Inc.プライバシーポリシー利用規約情報開示信頼性と安全性Cookieの設定商標