【基礎知識】認証に使われている「3つの要素」とは?
会員サイトなどの本人確認の方法として、IDやパスワードを用いた認証方法がこれまで広く活用されてきました。しかしこの方法では、1度の認証でログインできてしまうため、安全性の確保が難しくなってきています。そこで普及しはじめたのが、2段階認証と2要素認証と呼ばれる新しい認証方法です。2つとも類似した言葉ですが、それぞれどのような仕組みなのでしょうか。2要素認証と2段階認証を正しく理解するためには、まず「認証に使われる3つの要素」について理解することが大切です。具体的に見ていきましょう。
要素1:知識要素
ユーザーだけが知り得る情報を利用して認証する要素が「知識要素」です。パスワードや秘密の質問などが、知識要素に該当します。システム構築が比較的容易なため、知識要素を用いた認証方法は最も広く普及しています。 しかし、あまりにも簡単なパスワードであったり、残しておいたメモが誰でも閲覧できたりすれば、不正アクセスを容易に許すことになりかねません。運営側のずさんな管理が原因で、個人情報とともにパスワードが漏えいする危険性も考えられます。知識情報の安全性の担保には、十分な注意と厳重な管理が必要です。
要素2:所有要素
ユーザーの所有物を利用して認証する要素が「所有要素」です。ICカードやキャッシュカード・スマホなどが、所有要素に該当します。スマホを使った認証方法で代表的なものは、SMS認証と音声認証です。SMS認証は、携帯電話のSMS(ショートメッセージサービス)に送られてきたパスワードコードを、Webサイトの指定画面に入力して認証を行います。音声認証は、指定された番号へユーザーが電話をかけて本人確認を行う方法です。 所有要素による認証方法なら、所有要素が他者に渡らない限り不正利用はされないため、有効なセキュリティ対策といえます。
要素3:生体要素
ユーザーの身体的な特徴を利用して認証する要素が「生体要素」です。バイオメトリクス認証とも呼ばれています。顔や指紋・静脈・虹彩などが、生体要素に該当します。 身体的な特徴を読み取る専用の機器さえあれば生体要素での認証は可能なため、パスワードを覚えたりICカードを用意したりする必要がなく、ユーザーの負担は少なくすみます。また、不正アクセスされたとしても、生体要素であれば認証することは非常に困難なため、安全性が極めて高いといえるでしょう。ユーザー負担・安全性の観点から、生体要素による認証は急速に拡大しています。
「2段階認証」の流れ・利用メリットは?
3つの要素に関する解説の後は、2段階認証と2要素認証について、それぞれ具体的に見ていきましょう。まず2段階認証について解説します。
2段階認証とは、言葉のとおり「2段階の認証を行う」方法を指します。例えば、1段階目の認証で「パスワード」を入力し、2段階目の認証で「秘密の質問」を入力するなど。ここで押さえておきたいのが、パスワードと秘密の質問はどちらも「知識認証」であることです。2段階の認証を行うのであれば、3つの要素(知識・所有・生体)をわける必要はありません。認証を2段階行うことで、単純なパスワード入力だけの認証と比べて、セキュリティ強化を図れるのがメリットです。
2要素認証とは?利点・似ている用語との関連性
次に、2要素認証について解説します。類似語の「多要素認証」の説明もしています。一緒に覚えておきましょう。
違う要素を2つ用いる点が特徴といえる
2要素認証とは、「3つの認証要素の中から、異なる2つの要素を組み合わせて認証を行う」方法を指します。一般的に多い例は、1段階目に「パスワード」で認証し、2段階目に「スマホを使ったSMS」の認証を行う方法です。この場合、パスワードは知識要素、スマホは所有要素に該当します。知識要素と所有要素の2つの要素を用いているため、2要素認証となるわけです。 前述した2段階認証と同様に、2要素認証のメリットもセキュリティの強化です。例えば、本人だけが知っている情報に加え、本人だけが所有している物や本人の身体的特徴を読み取ることで、セキュリティをさらに強固にできます。
「多要素認証」にも該当する
2要素認証と似た言葉に、「多要素認証」があります。多要素認証とは、「3つの認証要素の中から、異なる2つ以上の要素を組み合わせて認証を行う」方法を指します。多要素認証と2要素認証の違いは、組み合わせる要素の数が「2つ」なのか「2つ以上」なのかという点です。よって2要素認証は、多要素認証の中の1つといえます。2つは類似語なので、一緒に覚えておくとよいでしょう。
間違いやすい「2段階認証」と「2要素認証」の違いは?
2段階認証と2要素認証について、詳しく解説してきました。どちらも2段階の認証を行う方法であり、共通点は少なくありません。大きな違いは、「認証に使われる要素の数」です。同じ要素を利用しているか、異なる要素を組み合わせているか、によって区別されます。 2要素認証も2段階の認証を行うため、必然的に2段階認証にも該当します。言葉も似ており混同しがちですが、より安全なセキュリティ対策を施すためにも、2つの違いを正確に理解することが大切です。
2段階認証の種類・2要素認証の活用例を紹介!
最後に、2段階認証と2要素認証の具体例を紹介します。みなさんが活用する機会も多いのではないでしょうか。
2段階認証はメールやアプリなどさまざまな種類がある
これまでに述べたSMSや音声通話を使った認証のほか、2段階認証にはいくつかの種類があります。ここでは、メールやアプリを利用した方法を紹介します。
メールを使った認証
メールを利用する認証とは、自身のメールアドレス宛に、ワンタイムパスワードや認証用のURLが送られる方法です。届いたパスワードをWebサイトの指定画面に入力したり、URLをクリックしたりすることで、認証が完了します。1段階目の認証で「パスワード」を入力し、2段階目の認証で「メール」を用いることが多いです。
アプリを使った認証
「Google Authenticator」などの専用アプリを使用して認証を行う方法です。パスワード認証やQRコード認証など、さまざまな認証方法が可能です。アプリを起動して、表示された認証コードを指定の箇所に入力したり、QRコードを読み取ったりすることで、認証が完了します。1段階目の認証で「パスワード」を入力し、2段階目の認証で「アプリ」を用いることが多いです。
2要素認証はホテルや銀行など多くの場面で活用されている
2要素認証は、みなさんの身近なところで使われています。ここでは、代表的な2要素認証の例として、銀行のATMとインターネットバイキング、ホテルのセキュリティボックスについて紹介します。
銀行のATM・インターネットバイキング
銀行のATMで現金を引き出すには、キャッシュカードと暗証番号が必要です。所有要素であるキャッシュカードと、知的要素である暗証番号の2つの要素で認証を行います。一方、インターネットバンキングではキャッシュカードは用いません。その代わり、IDとパスワードを入力する1段階目の認証後、スマホを使ったワンタイムパスワード認証が導入されています。
ホテルのセキュリティボックス
ホテルのセキュリティボックスには、鍵だけでなくパスワードを必要とするものも少なくありません。知的要素であるパスワードと、所有要素である鍵の2つの要素で認証を行います。たとえホテルの従業員が合鍵を持っていたとしても、宿泊客が設定したパスワードは知り得ないため、安全性が担保されます。最近では、パスワードの代わりに生体要素である静脈を使った認証も見られるようになりました。生体要素を採用することで、セキュリティがさらに強化されます。
セキュリティ向上のため2段階認証・2要素認証の検討を!
2段階認証と2要素認証は、セキュリティ対策の向上を目的に、現在広く普及しています。どちらも2段階の認証を行う方法ですが、大きな違いは「認証に使われる要素の数」です。同じ要素を利用しているか、異なる要素を組み合わせているか、によって区別されます。それぞれの違いを正しく理解して、自社のセキュリティ強化に役立てましょう。
