多要素認証(MFA)とは、記憶要素、物理媒体要素、生体情報要素の三種の認証要素(「認証の三要素」)のうち、二つ以上の異なる認証要素を組み合わせて認証する方法のことを指します。(Multi-Factor Authenticationの頭文字を取って「MFA」とも称される) 三種の認証要素すべての要素を組み合わせて認証を行うケースもあります。
一方、二要素認証とは、三種の認証要素のうち異なる2つの要素を組み合わせて認証する方法です。そのため、二要素認証は多要素認証の一種と言えます。
また、ニ段階認証とは、その名の通り二つの段階を経て行う認証方法を指します。多要素認証(MFA)・二要素認証と違って、認証要素の種類は問わず、段階(回数)を増やすことでセキュリティを高くします。
例えば、一段階目で「記憶要素」であるID・パスワードの認証を行ったあとに、同じく「記憶要素」である秘密の質問による認証を行います。同じ認証要素を使用して、認証を二回行うことから二段階認証と呼ばれます。
それでは、セキュリティの強度は異なるのでしょうか。
上記の例のように、二段階認証の場合、ID・パスワード、秘密の質問の答えがすべてわかっていれば(漏洩した場合)、誰でも簡単にログインできてしまうことになりセキュリティの強度は高いとは言えません。
二段階認証は、多要素認証(MFA)・二要素認証と同じく、認証時のセキュリティを担保するための方式として昨今ではスタンダードな方法ではありますが、より強固なセキュリティ対策を求める場合は、多要素認証(MFA)や二要素認証が推奨されます。特に、患者のプライバシー保護と情報のセキュリティ確保が極めて重要な医療情報システムにおいては、厚生労働省が定めた最新の「医療情報システムの安全管理に関するガイドライン」により、多要素認証(MFA)・二要素認証の採用が求められています。
参考:医療機関に適した二要素認証の解説記事
多要素認証(MFA)が普及する背景
これまで頻繁にあった情報漏洩の原因としては、記憶要素であるID・パスワードの盗難や組織内での使い回しが挙げられます。これは、ID・パスワードのみに頼った簡易な認証方式の脆弱性を示す最たる例です。特に、医療機関では、機密性の高い患者の個人情報や診療情報を保有しており、万が一そのような個人情報が漏洩した場合、その影響は計り知れません。昨今、日本国内でも医療機関がランサムウェアの攻撃を受け、電子カルテのシステムが使用できなくなり、新規患者の受け入れや各種検査の停止が余儀なくされた甚大な被害も発生しています。このように、実際に多くの組織や医療機関が脅威にさらされている状況では、より強固なセキュリティ対策が急務となっています。
多要素認証(MFA)・二要素認証の採用については、2023年(令和5年)5月、厚生労働省が定めた「医療情報システムの安全管理に関するガイドライン」においても明示されています。これまでは望ましいとされていた多要素認証(MFA)・二要素認証の導入は、2027年度(令和9年度)までに事実上義務化の流れへと移行しています。
医療システムに特化しているか
医療現場のあらゆるシステムに特化する株式会社イードクトルが手がける「Taikoban」は、静脈認証技術に対応しており、高い利便性とセキュリティレベルを担保できることから、北海道から九州まで日本全国で大学病院をはじめ30以上もの医療現場で導入され、累計2,700人以上、40,000IDを超える多要素認証(MFA)・二要素認証を現在も運用しています。「Taikoban」ほか、バイタル機器連携ソリューション「EVISCloud」、ペーパーレス・電子署名アプリ「KakiHan」など医療現場のあらゆるシステムに特化したソリューションをご提案しています。
導入についてのお問い合わせはお気軽にご相談ください。オンライン商談も可能です。
