PCI DSS要件8.3「多要素認証」の落とし穴！?「多段階認証」との違い

Reading Time: 1 minutes

PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード会員のカード情報や取引情報を安全に守るために策定された、クレジットカード事業者およびその加盟店向けの国際セキュリティ基準です。

PCI DSSは、2011年以降、日本国内でも準拠が本格化しています。これに加え、2020年の東京オリンピックを控えた現在では、セキュリティ強化を促進する目的で経済産業省から以下の実行計画が公開され、PCI DSS準拠に向けた動きが更に活発化しています。

・クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017（2016年版の改定）

PCI DSSの要件8.3では、外部ネットワークからリモートアクセスする際の「二要素認証」が要求されていますが、2016年4月28日に発表されたバージョン3.2ではこれが「多要素認証」と再定義されました。

当記事では、「多要素認証」の説明に加え、準拠者が勘違いし易いと言われている「多段階認証」との違いを解説します。

【”多要素”認証とは？】

重要システムへログインする際、本人であるかどうかを認証するための仕組みとして、「ID」と「パスワード」の組み合わせが良く使われます。このパスワードを突破するために、サイバー攻撃者側では「ブルートフォースアタック」や「辞書攻撃」といった手法が開発されてきました。

しかし実際にはパスワード以外にも認証を行う方式（要素）は多数存在します。PCI DSSは、多要素認証の方式として、以下の3要素を定義しています。

（1）記憶情報（SYK：Something You know）
「パスワード」はこの「記憶情報」として分類されます。この他にも暗証番号など、ユーザーが頭で記憶している情報を指します。記憶を忘れる可能性がある他、他人に知られると悪用されるリスクがあります。

（2）所持情報（SYH：Something You Have）
ICカードやトークンデバイスなど、ユーザーが所持しているものを指します。紛失・盗難等のリスクがあります。

（3）生体情報（SYA：Something You Are）
指紋、声紋、虹彩など、バイオメトリクスを指します。記憶として忘れたり所持物として紛失したりするリスクはありません。

PCI DSSの「多要素認証」要件を満たすには、上記3種類のうち2つ以上を使用することが必要です。この時、例えば「パスワード（記憶情報）」と「暗証番号（記憶情報）」を使用するなど、を同じ種類のものを2回使っても不適合となります。

「パスワード（記憶情報）」と「指紋（生体情報）」の組み合わせのように、異なる種類の情報を2つ以上採用しなければ、多要素認証とは認められません。

【多要素認証と多段階認証の違い】

多要素認証については、2017年2月に、以下の文書でより詳細な解釈が示されました。

・Information Supplement ”Multi-factor Authentication” (PCI Security Standards Council)（多要素認証に関する参考文献）

この中で、多要素認証を満たすための要件として「すべての認証要素を同時に検証した上で認証を通す必要性」が示されています。

Multi-step vs. Multi-Factor
PCI DSS requires that all factors in multi-factor authentication be verified prior to the authentication mechanism granting the requested access. Moreover, no prior knowledge of the success or failure of any factor should be provided to the individual until all factors have been presented. （5頁）

この場合、例えば「パスワード」と「指紋」を使って多要素認証の要件を満たす場合であれば

・パスワードの入力
・指紋の提示

という両方の要素が同時に入力されなければ、ログイン「成功/失敗」の判定を教えてもらえない仕組みにする必要が出てきます。