二要素認証とは
二要素認証とは、2つ以上の異なる要素を組み合わせることで、セキュリティの強化を図る認証方式です。2FA(2 Factor Authentication)、多要素認証(マルチファクター認証)と呼ばれることもあります。
従来の認証方式は、ID・パスワードによる認証が一般的でした。しかし、どちらも認証の要素としては「知識要素」に含まれるため、このような1つの認証要素では不正アクセスされる可能性が高くなります。そこで二要素認証にすることでセキュリティが強固になり、大切な情報を不正アクセスやウイルスなどの脅威から守れます。
二要素認証の代表的な導入事例に、銀行のATMが挙げられます。銀行のATMで現金を引き出すには、キャッシュカードと暗証番号が必要です。これらは異なる2つの要素を組み合わせた二要素認証です。
認証の三要素は「知識・所有・生体」
二要素認証の「要素」について詳しく解説します。認証には3つの異なる要素があり、具体的に見ていきましょう。
- ■知識要素(Something they know)
- 本人のみが知る、記憶している要素。パスワードや暗証番号、秘密の質問など。
- ■所有要素(Something they have)
- 本人のみが所有する要素。クレジットカードや身分証明証、セキュリティトークンなど。
- ■生体要素(Something they are)
- 本人の身体的特徴。指紋や静脈、声紋など。
二要素認証では、これら3つの要素のなかから2つを組み合わせて認証を行いますが、同じ要素を組み合わせた場合は二要素認証にはなりません。同じ要素の組み合わせは、二段階認証と呼ばれます。
二段階認証との違いは「要素の数」
さまざまな認証方式があるなか、二要素認証と似た言葉で「二段階認証」があります。これらの認証方式の違いは以下のとおりです。
- ■二要素認証
- 3つの異なる認証要素のなかから、2つの要素を組み合わせる認証方式。
- ■二段階認証
- 認証プロセスを2回に分けて、セキュリティの強化を図る認証方式。
二段階認証は、2つの認証要素を組み合わせる必要はありません。
例えば、ネットバンキングを利用する際、これまで使ったことがないデバイスからログインすると、ID・パスワードだけでは認証されません。登録済みのメールアドレスに認証メールが届き、そのなかにあるリンクにアクセスすることで認証ができます。
このように、2回に分けて認証を行うものの、利用した認証要素は1つだけの認証方式が、二段階認証です。
二要素認証の必要性
近年、個人情報の漏えいや不正アクセスによる被害が急増しています。従来のID・パスワードのみの認証では、もはや十分なセキュリティを確保することが難しくなってきました。そこで注目されているのが、二要素認証です。
二要素認証で異なる2つの認証方式を組み合わせることで、セキュリティを格段に高められます。例えば、パスワードにくわえて、スマートフォンアプリで生成されるワンタイムパスワードを入力する方式などがあります。たとえパスワードが漏えいしてしまっても、第三者が不正にログインすることを防げるのです。
企業においても、情報資産を守るために二要素認証の導入が急務となっています。社内システムへのアクセスや、機密情報の閲覧に二要素認証を用いることで、セキュリティ事故のリスクを大幅に減らせるでしょう。また、リモートワークが増えるなか、自宅からのアクセスにも二要素認証を適用することで、セキュアな環境を整えられます。
個人でも企業でも、情報セキュリティ対策に二要素認証は欠かせません。少し手間が増えるかもしれませんが、手間以上に高いセキュリティ効果を得られるでしょう。
二要素認証の組み合わせで効果的な認証方式
二要素認証ではさまざまな組み合わせが可能です。なかでも特に有効なのが、ワンタイムパスワードと生体認証です。詳しく見ていきましょう。
一度きりしか使えない「ワンタイムパスワード」
二要素認証では、ワンタイムパスワードを利用すると効果的です。
ワンタイムパスワードとは「1度きりのパスワード」であり、一定の時間に一度しか使用できません。有効時間は30秒程度と短く、期限が過ぎると新たな文字列のパスワードが発行されます。
不正を試みる者に対して時間的な余裕を与えないため、セキュリティ強化を実現できます。
本人の身体的な特徴を利用した「生体認証」
生体認証は、指紋や静脈、虹彩など本人の身体的な特徴を利用します。ほかの認証要素とは異なり、記憶・所有しておく必要はありません。暗証番号を忘れたりキャッシュカードを紛失したりするリスクもなく、利用者にとって負担の少ない認証方法といえるでしょう。
しかし、生体認証システムの導入は高額である場合が少なくありません。そのため、研究所など高度なセキュリティを必要とする施設で利用されています。
以下の記事では、ワンタイムパスワードについて詳しく解説しています。具体的な製品も紹介しているので、あわせて参考にしてください。
二要素認証の導入事例
さまざまな場面で二要素認証を採用する企業が増えつつあります。代表的な二要素認証の導入事例を紹介します。
トークンを使った二要素認証
トークンは3つの認証要素のうち「所有要素」にあたり、ワンタイムパスワードを発行する端末です。正式名称は「セキュリティトークン」といいます。これは、知識要素であるID・パスワードと組み合わせて認証を行うことで、セキュリティの向上を図るものです。
トークンは主に、ネットバンキングや社内システムへのログイン認証において利用されています。例えば、ネットバンキングで振込・振替などの取引や顧客情報の変更を行う際、ログインパスワードのほかにワンタイムパスワードを入力することで、不正アクセス防止につながるのです。利用者には事前にトークンが配られ、取引やログイン時には、毎回トークンによるワンタイムパスワードを発行します。
スマートフォンアプリを使った二要素認証
ワンタイムパスワード生成機能のあるスマートフォンアプリがあります。トークンと同様に、ネットバンキングの取引や社内システムへのログインのほか、ECサイトの本人認証として活用されるケースが多いでしょう。
例えばECサイトでは、クレジット決済時にIDやパスワードとともに、スマートフォンアプリから発行したワンタイムパスワードの入力を求められます。インターネットを利用したサービスが増えるなか、二要素認証の強固なセキュリティによって、安心して送金・決済することが可能になりました。
そのほかの事例として、学内・学外システムへのログイン認証に、スマートフォンアプリによる二要素認証を導入した大学もあります。
マトリクス表を使った二要素認証
マトリクス表とは、法則性のない文字列を表にしたものです。このマトリクス表が記載されたカードなどを利用者に配布し、指定された文字列の英数字をサーバに送り認証を行います。仕組みはシンプルで、利用者にとって理解しやすい認証方式といえるでしょう。
マトリクス表の英数字による組み合わせは天文学的な数字となるため、より強固なセキュリティを期待できるのです。複数のネットバンキングでは、所有要素であるマトリクス表と、知的要素であるログインIDやパスワードを組み合わせる認証方法を取り入れています。
また、リモートアクセスのセキュリティ強化のために、社内システムへの本人認証として、マトリクス認証を利用している企業もあります。
電話を使った二要素認証
所有要素の電話を使った二要素認証には、発番認証とSMS(ショートメッセージサービス)認証の2つがあります。
発番認証の仕組みは、利用者が登録している電話番号から認証システムへ電話をかけ、登録した電話番号と発信番号が一致しているかを照合するものです。また別の方法として、利用者が認証システムへ電話をかけると、パスワードがアナウンスされる場合があります。そのパスワードを利用サイトのログイン画面に入力することで、認証が完了する仕組みです。携帯電話だけでなく固定電話にも対応しているため、発番認証は利用者の幅を狭めることなく、導入しやすい特徴があります。
次にSMS認証は、ECサイトの会員登録やSNSの新規アカウント登録で活用されるケースが多いでしょう。例えば、イベントチケットを販売するECサイトでは、高額転売が大きな問題になっています。その対策として、SMS認証による会員登録が実施されるようになりました。
SMS認証とは、携帯電話のSMSに送信されたパスワードを、ログイン画面に入力する認証方法です。ECサイトの会員登録時に携帯電話番号の入力を必須とし、すでに登録されている電話番号は利用できなくすることで、同じ人による重複登録を防ぐ狙いがあります。そして、会員1人あたりのチケット購入枚数を制限することで、業者などによる買い占め防止を可能にしました。
静脈を使った二要素認証
生体要素の1つである静脈を用いた二要素認証は、駅構内や街中に設置されたセキュリティロッカーや、ホテルなどにある貴重品ボックスでの導入が知られています。
例えばセキュリティロッカーの場合、ICカードやパスワードなどによるログインの後に、指先で認証装置に触れるだけで認証が可能です。静脈を使った認証は、簡単な操作で、高いセキュリティ性を実現します。
ほかにも、企業の社内システムへのログイン認証や大学・介護施設での本人認証などとして、幅広く活用されています。
主な認証方式のメリット・デメリット
二要素認証にはさまざまな方式があり、それぞれに一長一短があります。従来のID・パスワードによる認証にくわえ、上述した主要な認証方式のメリットとデメリットを理解し、自社や自分に最適な方式を選ぶことが重要です。
IDとパスワードによる認証
IDとパスワードによる認証は、最もシンプルで導入コストが低い方式です。利用者にとっても馴染み深く、特別な機器を用意する必要がありません。しかし、パスワードの使い回しや単純なパスワードを設定するユーザーが多く、セキュリティ面での弱点が指摘されています。また、フィッシングサイトやキーロガーによるパスワード漏えいのリスクもあります。
ワンタイムパスワードによる認証
ワンタイムパスワードは、その都度新しいパスワードを生成するため、たとえ漏えいしてもほぼ無害です。専用のトークンやスマートフォンのアプリで手軽に利用でき、高いセキュリティを実現します。一方で、トークンの配布やアプリのインストールなど、導入の手間とコストがかかります。また、トークンの電池切れやスマートフォンの紛失などのトラブル時には、ユーザーがログインできなくなる恐れもあるでしょう。
生体認証
指紋や顔、虹彩など、本人の身体的特徴を使った生体認証は、なりすましが非常に困難です。パスワードのように記憶する必要がなく、手軽に使えるのも魅力です。ただし、生体情報を読み取るための専用デバイスが必要で、導入コストが高額になります。また、体調不良やケガで認証エラーになるケースもあり、運用面の課題もあります。プライバシーの観点から、生体情報の取り扱いにも注意が必要です。
マトリクス認証
マトリクス認証は、記号や数字が並んだ表のなかから、その都度指定された位置の文字列を入力する方式です。シンプルな仕組みながら、高いセキュリティ効果が期待できます。専用カードの印刷・配布コストがかかりますが、ソフトウェアによる実装も可能で、比較的導入しやすい認証方式といえるでしょう。ただし、マトリクス表を持ち歩く必要があり、紛失すると認証ができなくなります。
電話による認証
電話を使った認証には、自分の電話番号から認証システムに発信する方法と、SMSに届いたパスワードを入力する方法があります。多くの人が携帯電話を持つ現代では、手軽に導入できる認証方式です。しかし、通信料がかかることや、電波状況によっては認証エラーが起こり得ることが欠点として挙げられます。また、SMSの場合、スマートフォンの紛失や盗難時のリスクにも注意が必要です。
二要素認証の要点を押さえて製品を検討しましょう
従来は、ID・パスワードのみの認証が主流でした。しかし現在では、1つの認証要素ではセキュリティの弱さが目立つようになり、二要素認証を導入する企業が増えています。二要素認証は2つ以上の認証要素を組み合わせることで、セキュリティの強化を図ることが可能です。
さまざまなベンダーから二要素認証を採用した製品が多く販売されています。比較検討するため、気になる製品があれば資料請求してみてはいかがでしょうか。
