ソリューション
優れたオンライン体験を提供
DDoS攻撃を軽減 悪意のあるボット乱用の阻止 インターネットアプリケーションを高速化 アプリケーションの可用性を確保 Web体験を最適化する オンデマンドでビデオをストリーミング
従業員のアプリケーションとデバイスを保護する
アプリケーションへのゼロトラストアクセスを提供する セキュアアクセスサービスエッジ(SASE)を実装する インターネットにアクセスするユーザーの保護 コーポレートネットワークを保護する 請負業者のアクセスを安全に管理 仮想プライベートネットワーク(VPN)を替える リモートワーク中の社員を守る ブラウザ分離でゼロデイ攻撃を阻止する
 
ネットワークの保護と高速化
L3 DDoS攻撃の軽減 Cloudflareでネットワークインフラストラクチャを接続 企業ネットワークを変革する
ネットワークエッジでコードを実行
サーバーレスアプリケーションの構築 静的Webサイトのデプロイ CDNの設定 条件付リクエストルーティングを定義する
安全なクラウドの管理
安全でハイブリッドなクラウドとSaaSプラットフォーム SSL for SaaSアプリケーションを有効にする クラウドデータ転送コストの削減
Webサイトを登録する
Webサイトの登録または転送
業界
eコマース ゲーミング メディア、エンターテイメント 公共部門 SaaS
公共の利益
選挙キャンペーン アテネプロジェクト ガリレオプロジェクト
インフラストラクチャについて
アプリケーションとネットワークセキュリティ
DDoS保護 WAF ボット管理 Magic Transit Rate Limiting SSL/TLS Cloudflare Spectrum ネットワーク相互接続
パフォーマンスと信頼性
CDN DNS Argo Smart Routing 負荷分散 Stream配信 China Network
Cloudflare for Teams
Cloudflare for Teams Access ゲートウェイ ブラウザ分離
開発者向け
サーバーレスアプリケーション
Cloudflare Workers Cloudflare Workers KV
ドメイン登録
Cloudflare Registrar
Webサイトの開発
Cloudflare Pages Cloudflare Stream
すべての人のために
1.1.1.1 1.1.1.1 with WARP (アプリ) 1.1.1.1 for Families
インサイト
Analytics Cloudflare Logs Web Analytics Cloudflare Radar
プライバシー
データローカライゼーション コンプライアンス
インフラストラクチャについて
高度なセキュリティ
ボット管理 ファイアウォールルール Magic Transit Spectrum(TCP/UDP) SSL WAF
パフォーマンスと信頼性
CDN DNS Image Resizing 負荷分散 ストリーミング(ビデオ) Argo Tunnel
 
インサイト
Analytics
ドメイン登録
Registrar
サーバーレスアプリケーションについて
Workersクイックスタート Cloudflare Pages サンプルWorkersプロジェクト Workersチュートリアル コマンドライン (Wrangler) ランタイム
Cloudflare for Teams
Access Access監査ログ ゲートウェイ ゲートウェイアクティビティログ
CloudflareのAPIについて調べる
Cloudflare API API認証
ドキュメントハブ
デベロッパー向けドキュメントハブ
リソース
リソースハブ ホワイトペーパー ウェビナー ソリューションと製品ガイド 導入事例 アナリスト
探求
最新情報 ネットワークマップ 中国のCloudflare GDPR
開始する
Webサイトを登録する ウェルカムセンター 申し込む
学ぶ
ラーニングセンター セキュリティ DDoS ボット管理 SSL IDとアクセス管理 パフォーマンス CDN DNS クラウド サーバーレス ネットワーク層
接続
ブログ コミュニティ
コンプライアンス
GDPR 透明性レポート コンプライアンス
お問い合わせ
+1 650 319 8930
チャネルおよびアライアンスパートナー
パートナーネットワーク パートナーポータル
テクノロジーパートナー
概要 分析パートナー 帯域幅アライアンス 相互接続パートナーシップ ピアリングポータル
プラン別の価格設定
Pro Business Enterprise
比較と検討
プラン選びで、何かお困りですか? アドオン すべてのプランを比較する

多要素認証(MFA)とは?

多要素認証は、アプリケーションやデータベースへのアクセスを許可する前に、その人物の1つのID情報だけでなく、複数の側面をチェックします。単一要素認証よりもずっと安全です。

Share facebook icon linkedin icon twitter icon email icon
IAMとは?
アクセス制御
ゼロトラストセキュリティ
SASEとは?
セキュアWebゲートウェイ
リモートアクセス
用語集
  • IAMとは?
  • アクセス制御
  • ゼロトラストセキュリティ
  • SASEとは?
  • セキュアWebゲートウェイ
  • リモートアクセス
  • VPNとは?
  • VPNセキュリティ
  • VPN速度
  • ビジネスVPN
  • GDPRリモートアクセス
  • リモート従業員のセキュリティ
  • RDPとは?
  • RDPセキュリティ
  • 用語集
  • CASBとは?
  • フィッシング攻撃
  • DNSフィルタリング
  • データ損失防止(DLP)
  • URLフィルタリング
  • ソフトウェア定義の境界
  • 二要素認証
  • RBAC
  • SSOとは?
  • 多要素認証

    多要素認証(MFA)とは?

    多要素認証(MFA)とは、従来のユーザーIDとパスワードの組み合わせよりもずっと安全な本人認証方法です。通常、MFAはパスワードを組み込みますが、1つまたは2つのほかの認証要素も組み込みます。二要素認証(2FA)はMFAの一種です。

    MFAは、Identity and Access Management(IAM)の重要な部分であり、シングルサインオン(SSO)ソリューション内で実施されることが多いです。

    認証要素とは?

    ユーザーにソフトウェアアプリケーションやネットワークへのアクセス権限を付与する前に、本人認証システムは、ユーザーが本人であることを確認するためにユーザー固有の特性に基づいてユーザーを評価します。こうした特性を「認証要素」とも呼びます。

    次の認証要素が、最も広く使用されています。

    1. 知識情報:ユーザーが知っていること
    2. 所有情報:ユーザーが持っているもの
    3. 本人の特徴:ユーザー自身の身体的特徴

    MFAとは、2つ以上の認証要素を使用することを指します。2つの認証要素のみを使用するMFAのことは、二要素認証(2FA)または2ステップ認証とも呼びます。三要素認証はMFAのもう1つの形態です。

    三要素認証の実例にはどのようなものがあるか?

    • 知識情報(ユーザーが知っていること):この認証要素は、ユーザー名とパスワードの組み合せのように、本人だけが持っている知識情報です。そのほかの種類の知識要素には、秘密の質問、ID番号、社会保障番号などがあります。「シークレットハンドシェイク」もユーザーが知っていることになります。
    • 所有情報(ユーザーが持っているもの):この認証要素は、物理的なトークン、デバイス、または鍵の所有を指します。最もわかりやすい例は、家に入るのに物理的な鍵を使用することです。コンピューティングの世界では、キーフォブ、USBデバイス、あるいはスマートフォンといった物になります。
      多くの現代のMFAシステムは、アカウントにアクセスするために、ユーザーのスマートフォンにショートメッセージにて送信した一時的なコードをユーザーに入力するよう求めます。そうすることで、ユーザーしか持っていないスマートフォンをユーザーが持っていることが分かるので本人確認に役立ちます(攻撃者がユーザーのSIMカードを乗っ取った場合を除く)。
    • 本人の特徴(ユーザー自身の身体的特徴):これは、本人だけにある身体的特徴のことを指します。最もわかりやすい例は、見た目や声で誰であるかを認識することです。人間は日々のやり取りの中で常にこのことを行っています。身分証の写真と照合することは、本人の特徴を確認するもう1つの例です。
      コンピューティングの世界では、この認証要素の一例は、多くの現代のスマートフォンに備わっている機能の1つである顔認証です。ほかの手段には、指紋認証、虹彩認証、静脈認証などがあります。

    MFAが単一要素認証より安全な理由

    単一要素認証とは、上記のいずれか1つの要素を使用して個人を識別することです。単一要素認証の最も一般的な例が、ユーザー名とパスワードのみを要求することです。

    単一要素認証の問題は、攻撃者が1つの認証要素への攻撃に成功さえすればユーザーになりすますことができてしまうという点です。ユーザーのパスワードが盗まれると、ユーザーのアカウントは侵害されます。それに対して、ユーザーがMFAを実施した場合、攻撃者はアカウントにアクセスするのに、パスワード以外のものが必要になります。たとえば、ユーザーが持っているものを盗む必要があります。これは、攻撃者にとってはるかに難しいことになります。

    この問題は、ほかの形態の単一要素認証にも当てはまります。銀行がデビット(キャッシュ)カードとPINの代わりに、所有情報であるデビットカードのみで現金を引き出すことを許可したとします。犯罪者はデビットカードを盗むだけで、その口座に入っているお金を盗むことができてしまいます。

    MFAを安全にするのは、異なる要素の使用であることを覚えておく必要があります。

    あるアプリケーションがユーザーにパスワードのみを入力するよう促し、もう1つのアプリケーションがユーザーにパスワードと秘密の質問の答えを入力するよう促すとします。どちらのアプリケーションがより安全ですか?

    厳密に言うと、答えは「どちらでもない」になります:どちらのアプリケーションも知識情報という1つの認証要素のみに依存しています。パスワードと物理的なトークンまたは指紋を必要とするアプリケーションの方が、パスワードと秘密の質問のみを必要とするアプリケーションよりも安全です。

    ほかにどのような認証要素があるか?

    セキュリティ業界の一部では、上記の3つの認証要素に加えて追加の認証要素を提案または実装しています。実装が行われている例が極めて少ない、こうした認証要素には次のようなものがあります:

    位置情報:ログイン時にユーザーがいる場所。たとえば、米国に本社があり、全従業員が米国内で勤務する企業は、従業員のGPSの位置情報にアクセスして、別の国からのログインを拒否できます。

    時刻: ユーザーがログインした時刻、通常は、ほかのログインや場所と照らし合わせます。ユーザーがある国でログインし、その数分後に別の国でログインしようとした場合、そのログイン要求は不正なものである可能性が高いです。システムは、通常の営業時間外でのログイン試行を拒否する場合があります。ただし、これは認証要素というよりもセキュリティポリシーとしてみなされます。

    この両方を追加の認証要素とみなす場合(議論の余地がありますが)、厳密に言えば、四要素認証や五要素認証も可能になります。両方とも多要素認証に分類されることになります。(そうした強力なセキュリティ対策を講じる場合は、ユーザーに及ぼす影響を加味する必要があります。なぜなら、過度に厳格なセキュリティ対策を講じると、ユーザーは正式なポリシーを回避しようとするからです。)

    ユーザーはどのようにアカウントに対してMFAを適用できるか?

    現在、多くの消費者向けWebサービスはMFAを提供します。MFAを備えた大部分のアプリケーションは、ユーザーがログイン時にスマートフォンを使用することを必要とする2FAの形態を用いています。2FAを有効化できるかどうか、各アプリケーションのセキュリティ設定を調べてください。また、Cloudflareでは、すべてのCloudflareユーザーは各自のアカウントで2FAを実装することができます。

    企業はどのようにMFAを実装できるか?

    MFAの実装にはSSOソリューションを使用することが推奨されます。SSOは、すべてのアプリにMFAを実装するための単一箇所を提供しますが、すべてのアプリがMFAをサポートしているわけではありません。

    Cloudflare Accessは2FAをサポートしているSSOベンダーと統合します。Cloudflare Accessは、ユーザーができることを制御することで、企業のWebサイトとクラウドアプリケーションを保護するアクセス制御プロダクトです。

  • SAMLとは?
  • GDPRリモートアクセス
  • ネットワーク境界
  • OAuthとは?
  • IDプロバイダー (IdP)
  • IDaaS (ID管理)

多要素認証

学習目的

この記事を読み終えると、以下のことができます。

  • 多要素認証(MFA)を定義する
  • MFAがパスワードのみを使用するよりも安全である理由を知る
  • さまざまな本人認証要素を探る

関連コンテンツ

二要素認証

アクセス制御

IAMとは?

セキュアWebゲートウェイ

CASBとは?

多要素認証(MFA)とは?

多要素認証(MFA)とは、従来のユーザーIDとパスワードの組み合わせよりもずっと安全な本人認証方法です。通常、MFAはパスワードを組み込みますが、1つまたは2つのほかの認証要素も組み込みます。二要素認証(2FA)はMFAの一種です。

MFAは、Identity and Access Management(IAM)の重要な部分であり、シングルサインオン(SSO)ソリューション内で実施されることが多いです。

認証要素とは?

ユーザーにソフトウェアアプリケーションやネットワークへのアクセス権限を付与する前に、本人認証システムは、ユーザーが本人であることを確認するためにユーザー固有の特性に基づいてユーザーを評価します。こうした特性を「認証要素」とも呼びます。

次の認証要素が、最も広く使用されています。

  1. 知識情報:ユーザーが知っていること
  2. 所有情報:ユーザーが持っているもの
  3. 本人の特徴:ユーザー自身の身体的特徴

MFAとは、2つ以上の認証要素を使用することを指します。2つの認証要素のみを使用するMFAのことは、二要素認証(2FA)または2ステップ認証とも呼びます。三要素認証はMFAのもう1つの形態です。

三要素認証の実例にはどのようなものがあるか?

  • 知識情報(ユーザーが知っていること):この認証要素は、ユーザー名とパスワードの組み合せのように、本人だけが持っている知識情報です。そのほかの種類の知識要素には、秘密の質問、ID番号、社会保障番号などがあります。「シークレットハンドシェイク」もユーザーが知っていることになります。
  • 所有情報(ユーザーが持っているもの):この認証要素は、物理的なトークン、デバイス、または鍵の所有を指します。最もわかりやすい例は、家に入るのに物理的な鍵を使用することです。コンピューティングの世界では、キーフォブ、USBデバイス、あるいはスマートフォンといった物になります。
    多くの現代のMFAシステムは、アカウントにアクセスするために、ユーザーのスマートフォンにショートメッセージにて送信した一時的なコードをユーザーに入力するよう求めます。そうすることで、ユーザーしか持っていないスマートフォンをユーザーが持っていることが分かるので本人確認に役立ちます(攻撃者がユーザーのSIMカードを乗っ取った場合を除く)。
  • 本人の特徴(ユーザー自身の身体的特徴):これは、本人だけにある身体的特徴のことを指します。最もわかりやすい例は、見た目や声で誰であるかを認識することです。人間は日々のやり取りの中で常にこのことを行っています。身分証の写真と照合することは、本人の特徴を確認するもう1つの例です。
    コンピューティングの世界では、この認証要素の一例は、多くの現代のスマートフォンに備わっている機能の1つである顔認証です。ほかの手段には、指紋認証、虹彩認証、静脈認証などがあります。

MFAが単一要素認証より安全な理由

単一要素認証とは、上記のいずれか1つの要素を使用して個人を識別することです。単一要素認証の最も一般的な例が、ユーザー名とパスワードのみを要求することです。

単一要素認証の問題は、攻撃者が1つの認証要素への攻撃に成功さえすればユーザーになりすますことができてしまうという点です。ユーザーのパスワードが盗まれると、ユーザーのアカウントは侵害されます。それに対して、ユーザーがMFAを実施した場合、攻撃者はアカウントにアクセスするのに、パスワード以外のものが必要になります。たとえば、ユーザーが持っているものを盗む必要があります。これは、攻撃者にとってはるかに難しいことになります。

この問題は、ほかの形態の単一要素認証にも当てはまります。銀行がデビット(キャッシュ)カードとPINの代わりに、所有情報であるデビットカードのみで現金を引き出すことを許可したとします。犯罪者はデビットカードを盗むだけで、その口座に入っているお金を盗むことができてしまいます。

MFAを安全にするのは、異なる要素の使用であることを覚えておく必要があります。

あるアプリケーションがユーザーにパスワードのみを入力するよう促し、もう1つのアプリケーションがユーザーにパスワードと秘密の質問の答えを入力するよう促すとします。どちらのアプリケーションがより安全ですか?

厳密に言うと、答えは「どちらでもない」になります:どちらのアプリケーションも知識情報という1つの認証要素のみに依存しています。パスワードと物理的なトークンまたは指紋を必要とするアプリケーションの方が、パスワードと秘密の質問のみを必要とするアプリケーションよりも安全です。

ほかにどのような認証要素があるか?

セキュリティ業界の一部では、上記の3つの認証要素に加えて追加の認証要素を提案または実装しています。実装が行われている例が極めて少ない、こうした認証要素には次のようなものがあります:

位置情報:ログイン時にユーザーがいる場所。たとえば、米国に本社があり、全従業員が米国内で勤務する企業は、従業員のGPSの位置情報にアクセスして、別の国からのログインを拒否できます。

時刻: ユーザーがログインした時刻、通常は、ほかのログインや場所と照らし合わせます。ユーザーがある国でログインし、その数分後に別の国でログインしようとした場合、そのログイン要求は不正なものである可能性が高いです。システムは、通常の営業時間外でのログイン試行を拒否する場合があります。ただし、これは認証要素というよりもセキュリティポリシーとしてみなされます。

この両方を追加の認証要素とみなす場合(議論の余地がありますが)、厳密に言えば、四要素認証や五要素認証も可能になります。両方とも多要素認証に分類されることになります。(そうした強力なセキュリティ対策を講じる場合は、ユーザーに及ぼす影響を加味する必要があります。なぜなら、過度に厳格なセキュリティ対策を講じると、ユーザーは正式なポリシーを回避しようとするからです。)

ユーザーはどのようにアカウントに対してMFAを適用できるか?

現在、多くの消費者向けWebサービスはMFAを提供します。MFAを備えた大部分のアプリケーションは、ユーザーがログイン時にスマートフォンを使用することを必要とする2FAの形態を用いています。2FAを有効化できるかどうか、各アプリケーションのセキュリティ設定を調べてください。また、Cloudflareでは、すべてのCloudflareユーザーは各自のアカウントで2FAを実装することができます。

企業はどのようにMFAを実装できるか?

MFAの実装にはSSOソリューションを使用することが推奨されます。SSOは、すべてのアプリにMFAを実装するための単一箇所を提供しますが、すべてのアプリがMFAをサポートしているわけではありません。

Cloudflare Accessは2FAをサポートしているSSOベンダーと統合します。Cloudflare Accessは、ユーザーができることを制御することで、企業のWebサイトとクラウドアプリケーションを保護するアクセス制御プロダクトです。

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.