二要素認証とは？ワンタイムパスワードなどを使った事例も紹介

IT製品の比較サイト
ITトレンド編集部

IT技術の急速な発達により、個人情報の漏えいや第三者のなりすましによる不正アクセス被害が多発しています。企業は情報漏えいのリスクから情報資産を守る必要があります。また、その対策を早急に図るべき企業は多いでしょう。

この記事では、情報セキュリティの強化ができる二要素認証の概要や、ワンタイムパスワードについて詳しく解説します。

二要素認証とは

二要素認証とは、２つ以上の異なる要素を組み合わせることで、セキュリティの強化を図る認証方式です。２FA（２ Factor Authentication）、多要素認証（マルチファクター認証）と呼ばれることもあります。

従来の認証方式は、ID・パスワードによる１つの要素による認証が一般的でした。しかし、１つの認証要素では不正アクセスされる可能性が高いため、二要素認証にすることでセキュリティが強固になり、大切な情報を不正アクセスやウイルスなどの脅威から守れます。

二要素認証の代表的な導入事例に、銀行のATMが挙げられます。銀行のATMで現金を引き出すには、キャッシュカードと暗証番号が必要です。これらは異なる２つの要素を組み合わせた二要素認証です。

認証の三要素は「知識・所有・生体」

では二要素認証の「要素」とは、具体的にどのようなものなのでしょうか。認証には３つの異なる要素があります。具体的に見ていきましょう。

知識要素（Something they know）: 本人のみが知る、記憶している要素。パスワードや暗証番号、秘密の質問など。
所有要素（Something they have）: 本人のみが所有する要素。クレジットカードや身分証明証、セキュリティトークンなど。
生体要素（Something they are）: 本人の身体的特徴。指紋や静脈、声紋など。

二要素認証では、これら３つの要素のなかから２つを組み合わせて認証を行いますが、同じ要素を組み合わせた場合は二要素認証にはなりません。同じ要素を組み合わせは、二段階認証と呼ばれます。

二段階認証との違いは「要素の数」

さまざまな認証方式があるなか、二要素認証と似た言葉で「二段階認証」があります。これらの認証方式の違いは以下のとおりです。

二要素認証: ３つの異なる認証要素のなかから、２つの要素を組み合わせる認証方式。
二段階認証: 認証プロセスを２回に分けて、セキュリティの強化を図る認証方式。

二段階認証は、２つの認証要素を組み合わせる必要はありません。

例えば、ネットバンキングを利用する際、これまで使ったことがないデバイスからログインすると、ID・パスワードだけでは認証されません。登録済みのメールアドレスに認証メールが届き、そのなかにあるリンクにアクセスすることで認証ができます。

ここまでに利用したのは知識要素だけですが、２回に分けて認証を行っています。このような場合を二段階認証といいます。

二要素認証の組み合わせで効果的な認証方式

二要素認証ではさまざまな組み合わせが可能ですが、特に有効なのはワンタイムパスワードと生体認証です。詳しく見ていきましょう。

一度きりしか使えない「ワンタイムパスワード」

二要素認証では、ワンタイムパスワードを利用すると効果的です。

ワンタイムパスワードとは「１度きりのパスワード」であり、一定の時間に一度しか使用できません。有効時間は30秒程度と短く、期限が過ぎると新たな文字列のパスワードが発行されます。

不正を試みる者に対して時間的な余裕を与えないため、セキュリティ強化を実現できます。

本人の身体的な特徴を利用した「生体認証」

生体認証は指紋や静脈、虹彩など本人の身体的な特徴を利用します。ほかの認証要素とは異なり、記憶・所有しておく必要はありません。暗証番号を忘れたりキャッシュカードを紛失したりするリスクもなく、利用者にとって負担の少ない認証方法といえるでしょう。

しかし、生体認証システムの導入は高額である場合が少なくありません。そのため、研究所など高度なセキュリティを必要とする施設で利用されています。

以下の記事では、ワンタイムパスワードについて詳しく解説しています。興味がある方は参考にしてください。

2023.08.01

【2023年版】おすすめのワンタイムパスワード11選を比較！

続きを読む ≫

二要素認証の導入事例

さまざまな場面で二要素認証を採用する企業が増えつつあります。代表的な二要素認証の導入事例を紹介します。

トークンを使った二要素認証

トークンは３つの認証要素のうち「所有要素」にあたり、ワンタイムパスワードを発行する端末です。正式名称は「セキュリティトークン」といいます。これは、知識要素であるID・パスワードと組み合わせて認証を行うことで、セキュリティの向上を図ります。

トークンは主に、ネットバンキングや社内システムへのログイン認証において利用されています。例えば、ネットバンキングで振込・振替などの取引や顧客情報の変更を行う際、ログインパスワードのほかにワンタイムパスワードを入力することで、不正アクセス防止につながるのです。利用者には事前にトークンが配られ、取引やログイン時には、毎回トークンによるワンタイムパスワードの発行を発行します。

スマートフォンアプリを使った二要素認証

ワンタイムパスワードの生成機能をもつスマートフォンアプリがあります。トークンと同様に、ネットバンキングの取引や社内システムへのログインのほか、ECサイトの本人認証として活用されるケースが多いでしょう。

例えばECサイトでは、クレジット決済時にIDやパスワードとともに、スマホアプリから発行したワンタイムパスワードの入力を求められます。インターネットを利用したサービスが増えるなか、二要素認証の強固なセキュリティによって、安心して送金・決済することが可能になりました。

そのほかの事例として、学内・学外システムへのログイン認証に、スマートフォンアプリによる二要素認証を導入した大学もあります。学校法人近畿大学では、学生や教職員の本人認証セキュリティの強化を、ワンタイムパスワードで実現しました。その際に、トークンなどのハードウェアを所持する必要がなく、利便性にすぐれたスマートフォンアプリを採用。SNSのログイン認証などとして一般的に普及し、学生たちになじみのある認証方式であることから、学生・教職員約47,000人への導入もスムーズに進みました。

参考：ワンタイムパスワードを用いた２段階認証で不正ログイン対策を本格化西日本最大規模の総合大学が、全学約4万7千人を対象にサービス開始。｜株式会社アイピーキューブ

マトリクス表を使った二要素認証

マトリクス表とは、法則性のない文字列を表にしたものです。このマトリクス表が記載されたカードなどを利用者に配布し、指定された文字列の英数字をサーバに送り認証を行います。仕組みはシンプルで、利用者にとって理解しやすい認証方式といえるでしょう。

マトリクス表の英数字による組み合わせは天文学的な数字となるため、より強固なセキュリティを期待できる所有要素です。複数のネットバンキングでは、所有要素であるマトリクス表と、知的要素であるログインIDやパスワードを組み合わせる認証方法を取り入れています。

また、ある一般企業では社内システムへの本人認証として、マトリクス認証を利用しています。リモートアクセスのためのセキュリティ強化として、以前はトークンやカードリーダーなどのハードウェアを使った認証方式を採用していました。しかし、デバイスレスの認証を希望する社員の声や利便性の向上を鑑みて、パソコンブラウザのみで認証が可能なマトリクス認証システムを導入。リモートアクセスが格段に便利になりました。

電話を使った二要素認証

所有要素の電話を使った二要素認証には、発番認証とSMS（ショートメッセージサービス）認証の２つがあります。

発番認証の仕組みは、利用者が登録している電話番号から認証システムへ電話をかけ、登録した電話番号と発信番号が一致しているかを照合します。また別の方法として、利用者が認証システムへ電話をかけると、パスワードがアナウンスされる場合があります。そのパスワードを利用サイトのログイン画面に入力することで、認証が完了する仕組みです。携帯電話だけでなく固定電話にも対応しているため、発番認証は利用者の幅を狭めることなく、導入しやすい特徴があります。

次にSMS認証は、ECサイトの会員登録やSNSの新規アカウント登録で活用されるケースが多いでしょう。例えばイベントチケットを販売するECサイトでは、高額転売が大きな問題になっています。その対策として、SMS認証による会員登録が実施されるようになりました。

SMS認証とは、携帯電話のSMSに送信されたパスワードを、ログイン画面に入力する認証方法です。ECサイトの会員登録時に携帯電話番号の入力を必須とし、すでに登録されている電話番号は利用できなくすることで、同じ人による重複登録を防ぐことが狙いです。そして、会員１人あたりのチケット購入枚数を制限することで、業者などによる買い占め防止を可能にしました。

静脈を使った二要素認証

生体要素の１つである静脈を用いた二要素認証は、駅構内や街中に設置されたセキュリティロッカーや、ホテルなどにある貴重品ボックスでの導入が知られています。

例えばセキュリティロッカーの場合、ICカードやパスワードなどによるログインの後に、指先で認証装置に触れるだけで認証が可能です。静脈を使った認証は、簡単な操作で、高いセキュリティ性を実現します。

そのほかにも、企業の社内システムへのログイン認証や、大学・介護施設での本人認証などとして、幅広い業種で活用されています。ここでは、デイサービス事業を運営する株式会社ウェルネスフロンティアの例を見てみましょう。

株式会社ウェルネスフロンティアでは、リハビリに使用するフィットネスマシンに指静脈認証を採用しました。導入の目的は、スタッフの業務効率化とコンプライアンスの強化でした。指静脈認証をフィットネスマシンのプログラムと連携することで、利用者ごとの運動プログラムの設定や履歴の管理などが自動化でき、スタッフの業務負担やミスの軽減を可能にしました。また、利用者のチェックインシステムに指静脈認証を使うことで、一人ひとりの通所状況をデータで記録できるため、利用者家族からの信頼にもつながりました。

参考：トップページ｜株式会社日立製作所

二要素認証の要点を押さえて製品を検討しましょう！

従来は、ID・パスワードのみの認証が主流でした。しかし現在では、１つの認証要素ではセキュリティの弱さが目立つようになり、二要素認証を導入する企業が増えています。二要素認証は２つ以上の認証要素を組み合わせることで、セキュリティの強化を図ることが可能です。

さまざまなベンダーから二要素認証を採用した製品が多く販売されています。比較検討するため、気になる製品があれば資料請求してみてはいかがでしょうか。

ワンタイムパスワード人気ランキング | 今週のランキング第1位は？

ワンタイムパスワード選び方ガイド

製品を選ぶときのポイントがわかる！

どんな企業が導入すべきかがわかる！

選び方ガイドのダウンロードはこちら

ITトレンドはイノベーションが2007年より運営している法人向けIT製品の比較・資料請求サイトであり、2020年3月時点で、累計訪問者数2,000万人以上、1,300製品以上を掲載しています。サイトを閲覧し利用する企業内個人であるユーザーは、掲載されている製品情報や口コミレビューなどを参考に、自社の課題に適したIT製品を複数の製品・会社から比較検討ができ、その場で資料請求が一括でできるサイトです。

このカテゴリーに関連する記事

ワンタイムパスワードの使い方とは？活用事例も詳しく解説

トークンとは？概要やワンタイムパスワードについてわかりやすく解説

パスワードクラックとは？攻撃の種類や防御対策も解説！

【2023年版】おすすめのワンタイムパスワード11選を比較！

ワンタイムパスワードのデメリットと対策！製品の選び方も紹介

ワンタイムパスワードの認証方式とは？仕組みや特徴を徹底解説

リスト型アカウントハッキング攻撃の特性と対策とは

２段階認証で使われるワンタイムパスワードの発行方法・注意点

ワンタイムパスワードのマトリクス認証とは？対応製品も紹介！

ワンタイムパスワードが持つ3つのメリットとは？

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「二要素認証とは？ワンタイムパスワードなどを使った事例も紹介」というテーマについて解説しています。ワンタイムパスワードの製品導入を検討をしている企業様は、ぜひ参考にしてください。

カテゴリー資料請求ランキング

9月26日(月) 更新
	【SMS×電話通知】二要素認証特化機能が充実SMSLINK 認証サービス株式会社ネクスウェイ
	二段階認証による不正アクセス対策支援株式会社ジンテック
	多要素認証システムAuthWay 株式会社アイピーキューブ
4位以下のランキングはこちら