二段階認証とは
二段階認証とは、Webサービスの新規登録や登録変更など高いセキュリティを要する場面において、本人確認を2回に分けて行うことです。
従来のようにログインIDとパスワードの認証だけでなく、電話番号やメールアドレスなどを利用するため、強固なセキュリティを構築できます。後述する二要素認証と異なり、認証要素には目を向けません。あくまで「認証を2回繰り返す」認証方式を、二段階認証と呼びます。
二段階認証が必要な理由
現在、Twitter・Facebook・Instagram・ネットショッピングなど多くのユーザーや企業が利用するシステムにおいて、アカウントの乗っ取りや情報漏えいなどの情報セキュリティ事故・被害が相ついで報告されています。特に企業において不正ログインやハッキングなどは、情報漏えいや顧客への信頼問題、会社そのものの存続など甚大なダメージを及ぼす危険性があるでしょう。
一段階の認証において、パスワードを使いまわしていたり、推測されやすいパスワードを採用していたりすれば、簡単に突破される可能性があります。そのため、現在多くのシステムにおいて二段階認証を実施しています。
ITトレンドでは、さまざまなサイバー攻撃対策製品の資料請求が可能です。まずは最新の人気製品が知りたいという方は、こちらのランキングを参考にしてください。
二段階認証と二要素認証の違い
「二段階認証」と似た名称の認証に「二要素認証」があります。二段階認証が、画面を進めていくうえで2回認証を求められるのに対し、二要素認証は、認証要素を2つに増やします。
認証要素とは、以下を満たした要素のことです。
- 知識要素:本人しか知りえない知識(ログインパスワード・秘密の質問など)
- 所有要素:本人しか所有していない物(電話番号・SMS・メールアドレスなど)
- 生体要素:本人の身体的特徴(顔認証・指紋認証など)
つまり二要素認証とは、これら3つの認証要素から2つの異なる要素を組みあわせて認証を行うことです。2つの要素を用いることで、認証強度が高まります。
これに対し、二段階認証は要素の数に目を向けません。例えば、ログインパスワードと秘密の質問は、2回繰り返せば二段階認証といえますが、知識要素しかないため要素的にみれば1カウントです。この場合、「ニ段階認証ではあるが、二要素認証ではない」とみなされます。
逆にログインパスワードと、電話番号(所有要素)または指紋認証(生体要素)で二段階認証を行えば、「二段階認証であり、二要素認証でもある」といえます。知識要素であるパスワードのほかに、所有要素または生体要素の合計2要素を利用しているからです。
二要素認証について、以下の記事でより詳しく解説しています。
二段階認証のメリット・デメリット
二段階認証には、どのようなメリット・デメリットがあるのでしょうか。
【メリット】なりすましを防げる
二段階認証は通常のパスワード認証に加え、電話番号やメールアドレスで本人確認を行う方法です。本人確認のステップが増えるため、IDやパスワードを不正取得した第三者による「なりすまし」を防げます。万が一、一つめの認証が突破されたとしても、二つめの認証でブロックできるでしょう。
【デメリット】手間・コストがかかる
二段階認証は、毎回2回の認証が必要なため手間がかかります。今まで1回で済んでいた認証が2回に増えることで、ストレスを感じるケースもあります。
また認証のためのデバイスを導入する場合は、コストの増大も懸念されるでしょう。手間と労力や予算を考慮すると、手続きの内容に関係なく一律に導入するのは、現実的ではないかもしれません。
二段階認証の仕組み
第一段階で、利用者にIDやパスワードを入力してもらい本人確認を行います。ただしこの方法では、IDやパスワードを不正取得した第三者による「なりすまし」を防げません。
そこで第二段階で、電話番号やメールアドレス認証を行います。本人確認の精度を厳格化することより、高いセキュリティを要する場面での不正操作を防止できるでしょう。
また二段階目の認証では、電話番号やメールアドレスだけでなく、指紋や顔認証などの生体認証が採用される場合もあります。自社のセキュリティ対策として、利用しやすい認証方法を選びましょう。
二段階認証の種類
二段階認証には、以下のような方法があります。各認証方法の特徴やメリットを解説します。
SMSを利用する認証
電話番号宛てに送信されたSMSから、認証コードを取得し、指定された画面に入力する方法です。携帯電話やスマートフォンから簡単に行えるため、多くのサービスで利用されています。
SMS認証は、仮にログインIDやパスワードが流出しても、本人のスマートフォンがなければ突破されません。ただし最近は、SMSに届いた認証コードを聞き出す手口もあるので注意が必要です。
またSMS機能がない場合や、SMSを受信できない環境ではSMS認証が使用できません。
音声電話やEメールを利用する認証
音声電話による認証では、着信時に流れる自動音声によって認証コードを確認します。音声発信となるため、聴覚に障がいをもつ方には向きません。「サン・ヨン・ナナ・・・」のように、機械音声によって認証コートが伝えられます。
Eメールを利用する認証では、自分のアドレス宛てにワンタイムパスワードや認証コードが送信されます。フリーメールにも対応しているので、発行にコストもかかりません。
ただし、メールアカウントのログイン情報が流出した場合は、本文を盗み取られる恐れがあります。プロバイダが発行するメールアドレスを利用している場合は、プロバイダの変更の都度メールアドレスの変更が必要です。
アプリを利用する認証
専用アプリを経由して認証する方法です。スマートフォンやパソコンにアプリをインストールし、アプリ上で一定期間のみ有効な認証コードを生成します。代表的な認証アプリといえば「Google認証システム」ですが、オリジナルの認証アプリを提供しているサービスも増えています。
なお認証方法は、通知やQRコードなどさまざまです。例えばQRコードの場合、自分のスマートフォンに専用アプリをインストールし、サービス側でニ段階認証を設定した後、表示されたQRコードを専用アプリで読み取るだけで認証できます。生成されたQRコードは一定期間に1度しか使えないため、仮に第三者がQRコードを入手しても不正ログインを防げます。
トークンを利用する認証
ワンタイムパスワードを発行する専用機器(トークン)を利用した認証方法です。機器内に表示された認証コードを、制限時間内に入力するだけで認証できます。
外部機器を利用した認証方法としては高いセキュリティを誇り、ネットバンキングや暗号通貨、オンラインゲームなどに利用されています。ただし、発行手数料が高いなどの課題もあり、広く普及しているとはいえません。
指紋や顔を利用する認証
指紋や顔、静脈など、身体的な特徴を利用した生体認証と呼ばれる方法です。専用のアプリやシステムを利用します。生体認証は、個人の顔や体の特徴を認識して本人を特定するため、なりすましやスマートフォンの乗っ取りのリスクが低く、安全性の高いセキュリティといえます。パスワードを記憶・所有しておく必要がなく、利用者にとって利便性が高いでしょう。
巧妙化するサイバー攻撃から情報を守るためには、企業ごとに適切なセキュリティ対策を行う必要があります。その一手として有効なサイバー攻撃対策ツールについて、以下の記事でも詳しく紹介しています。
二段階認証利用時の注意点
情報セキュリティの強化に役立つ二段階認証ですが、利用時にはいくつかの注意点もあります。
- ■スマートフォンや専用機器の紛失に気をつける
- SMSやアプリを活用した認証では、スマートフォンを紛失した場合、認証不可となります。トークンなどの専用機器を利用する場合も同様であり、アカウント情報のリセットが必要です。二段階認証設定時には、紛失した場合を想定して複数の認証方法を設定しておくと安心でしょう。
- ■フィッシングサイトに気をつける
- SNSやショッピングサイト・銀行のサイトを模倣した偽サイトにアクセスさせ、通常のID・パスワードだけでなく、二段階認証の認証コードも入力させて情報を得る手口があります。利用者がすべての認証情報を入力してしまった場合、クレジットカードの不正利用や不正送金など大きな被害につながる可能性があります。このようなリスクがあるため、サイトそのものの安全性を確認してから利用しましょう。
Googleアカウントで二段階認証を設定する方法は?
インターネット検索をする際にGoogleのブラウザを使ったり、GoogleカレンダーやGmailなど、Googleの関連サービスを利用したりしている人は多いでしょうか。利用頻度の高いGoogleアカウントの安全性を高めるためには、二段階認証が有効です。
現在、Googleの二段階認証は自動的に有効化されるようになりましたが、設定をオフにしている人は、セキュリティ対策として二段階認証の設定を行いましょう。ここでは、パソコンでGoogleアカウントの二段階認証を設定する手順を解説します。二段階認証の設定前に、まず「2段階認証プロセス」を有効にします。
- ■2段階認証プロセスを有効にする手順
- 1:「Googleアカウント」を開く
- 2:ナビゲーションパネルで「セキュリティ」を選択する
- 3:「Googleへのログイン」で「2段階認証プロセス」をオンにし、「使ってみる」を選択する
上記によって、2段階認証プロセスが有効になりました。次に表示される2段階認証プロセスの画面上の指示に従って、二段階認証の設定を完了させます。Googleアカウントの二段階認証では、SMS・セキュリティキー・メッセージ・Google認証システムのアプリなど、複数の認証方法を利用できます。
二段階認証を設定して情報セキュリティ対策を強化!
二段階認証は、本人確認を2回繰り返すことで、不正アクセスを防止する仕組みです。SMS・音声電話・Eメール・アプリなど複数の認証方法があり、なりすましを防ぐメリットがあります。サイバー攻撃のリスクは思っているより身近に迫っています。早速、二段階認証の設定をしてみましょう。
また二段階認証以外にも、サイバー攻撃対策に有効なセキュリティ製品は数多くあります。以下のボタンよりサイバー攻撃対策製品の資料請求が可能です。複数ある製品をパッと比較できる一覧表も作成できるため、導入を検討したい方はぜひご利用ください。
