二要素認証は、本人確認を行う手段の一つです。「二段階認証」という言葉はよく聞きますが、二要素認証は二段階認証とは異なり、より高いセキュリティレベルで認証を行うことができます。とはいえ、二段階認証と混同している人も多いのではないでしょうか? ログインの必要なサービスが増えるにつれて認証方式も多様化しており、二要素認証を取り入れるサービスが増えてきています。ここでは、二要素認証の概要や導入事例、導入のポイントなどを紹介します。
二要素認証とは
登録した本人であることを確認し、ログインを許可する処理のことを認証といいます。二要素認証は認証方式のひとつで、「認証の三要素」のうち「異なる2つの要素」を組み合わせて本人確認を行う方式のことを指します。「異なる3つの要素」を組み合わせた三要素認証を含めて「多要素認証」と呼ぶ場合もあります。なお、1つの要素しか利用していない認証は「単要素認証」となります。
認証の三要素
「認証の三要素」とは、認証を行うために必要となる認証方式の種類・カテゴリーのことで、知識、所有、生体の3つに分類できます。
知識
本人が知っている情報。暗証番号、パスワード、PINコード、秘密の質問などを指します。
所有
本人が持っているモノ(物体)。キャッシュカード、スマートフォン、セキュリティトークン(ハードウェアトークン)、電子証明書などを指し、その物体に送信したり、物体に記録されたりしている情報が認証に利用されます。
生体
本人の身体一部をデジタル情報として記録し、認証に利用する方式です。顔、指紋、手や指の静脈、虹彩、声など、さまざまな部位を利用した認証が実現されています。
現在では生体認証を実現するソリューションも提供されているため、比較的容易に実現可能になっています。詳しくは、次の記事を参考にしてください。
「認証の三要素」の組み合わせ方に特に決まりはありません。二要素認証の場合は、「知識+所有」、「知識+生体」、「所有+生体」といった組み合わせ方を利用できます。
二段階認証とは何が違うのか
二段階認証は、2ステップで本人確認を行う認証方式のことを指します。規定されているのは認証の数(回数)だけで、要素についての規定はありません。それぞれのステップを「異なる要素」で認証している場合は、二要素認証になります。一方、「同じ要素」だけで2ステップの認証を行っている場合は、二要素認証とは呼べません。以下の例を参考にしてください。
- 「二段階認証」かつ「二要素認証」の場合
ステップ1でIDとパスワード、ステップ2でSMS認証を行う場合は、二段階認証かつ二要素認証になります。ステップ1で「知識」、ステップ2で「所有」の要素を用いているためです。 - 「二段階認証」ではあるが「単要素認証」の場合
ステップ1でIDとパスワード、ステップ2で暗証番号や秘密の質問を問う場合。この場合、二段階認証ではありますが、二要素認証ではありません。どちらのステップでも「知識」の要素を認証に利用しているため、単要素認証になります。
二要素認証は「異なる要素」を利用するため、二段階認証よりも突破されにくく、強固な認証方式であると考えられています。そのため、アナログ・デジタルに関係なく、さまざまな場所で利用されています。
二段階認証と二要素認証のメリットとデメリットは、それぞれ次のとおりです。
- 二段階認証
メリットは「同じ要素」の認証ではあるものの、単要素認証と比べてセキュリティを少し強化できることです。デメリットは、認証を2回行うため、ログインするまでに手間がかかること、単要素認証と比べて最初の設定が倍になる(ユーザー登録が面倒になる)ことです。 - 二要素認証
メリットは、「異なる2つの要素」により認証するため、厳格な本人確認が可能になることです。PCとスマートフォンなど、複数の端末を使い分けて認証を行うと、より安全性は高くなります。たとえば、GoogleやAmazonにログインする場合、PCからログインしようとするとスマートフォンにSMSでワンタイムパスワードを送られることがあります。このワンタイムパスワードをPC側で入力し、ログインする方法は、複数の端末を使った二要素認証になります。デメリットは認証を2回行うためログインするまでに手間がかかること、単要素認証と比べてサービス側のコストがかかることです。
| メリット | デメリット | |
|---|---|---|
| 二段階認証 | 単要素認証より強力 | 単要素認証の場合セキュリティ強度が高まらない |
| 二要素認証 | 厳格な本人確認が可能になる | サービス側のコストがかかる |
二要素認証はどこで使われているのか
二要素認証は、次のようなところで使われています。
- PCの認証
知識(ログインパスワード)と所有(電子証明書)を利用 - 銀行のATM
所有(キャッシュカードや通帳)と知識(暗証番号)を利用 - VPNを介したリモートアクセス
知識(ログインパスワード)と所有(セキュリティトークン)を利用 - ホテルのセキュリティボックス
所有(鍵)と知識(暗証番号)を利用
なぜ二要素認証の導入が進んでいるのか
最近、二要素認証の必要なサービスが増えています。その理由として考えられるのは次の2つです。
- ログインが必要なサービスが増えたが、IDとパスワードだけではリスクが高いと考えられること
- 金融や決済などで使われるサービスが増えたこと
従来は、IDとパスワードだけの単要素認証でログインできるサービスが数多くありました。しかし、それだけではリスクが高まっているため、より強固な二要素認証が求められるようになりました。
主な認証方式の種類とメリット・デメリット
続いては、それぞれの認証方式のメリットとデメリットについて見ていきます。どの認証方式を使うかを決定する際は、それぞれのデメリットをよく理解し、それを補う仕組みを考える必要があります。
IDとパスワード
最大のメリットは手軽さです。IDとパスワードを記憶していれば、特定の端末や道具を必要とすることなくログイン(認証)できます。
デメリットは、単要素認証のためセキュリティリスクが高いことです。パスワードが漏えいすると、不正アクセスを防ぐ手段がなくなってしまいます。パスワードは記憶に頼りがちなため、同じパスワードをいくつものサービスで使い回していることが多く、その場合は、同時に複数のサービスにアクセスされてしまう危険性があります。
セキュリティトークンや乱数表
メリットは、ハードウェア(カードやトークンなど)を所有していなければアクセスできないことです。セキュリティを強化するために、他の認証方式と組み合わせて利用されるケースが多いといえます。
一方、デメリットは次の2つとなります。
- サービス登録時にセキュリティトークンや乱数表を発行しておく必要がある。ハードウェアの場合、ユーザーの手元に届くまでに時間がかかる
- 紛失や盗難に注意する必要がある。盗難にあうと不正アクセスにつながる可能性がある
二段階認証アプリというものもあります。スマートフォンアプリの形で配布されているセキュリティトークンのようなもので、アプリを介してワンタイムパスワードや顔認証、指紋認証を行います。PCからログインするときに認証システムアプリを併用することで、二段階認証を簡単に実現することができます。多くのアプリと連携可能なGoogle Authenticatorや、Microsoftアプリの認証を行うMicrosoft Authenticatorなどがよく使われています。
生体認証
生体認証のメリットは、次の3つです。
- 本人の生体を利用するため、特別な道具が必要ない
- 紛失の心配がない
- 複製のリスクが小さい
その一方で、シリコンやゼラチンを使った指紋の複製、写真を使った顔認証の突破などによる不正アクセスを完全に防ぐことはできない可能性がリスクとなります。また、生体認証の登録に時間がかかるというデメリットがあります。
電子証明書による認証
電子証明書には、公開鍵、証明書の発行者情報、証明書を発行した認証局の情報が含まれています。電子証明書により証明書の持ち主の情報を証明することができ、他人によるなりすましなどのリスクを減らすことができます。Webサイトに使われるサーバ証明やPCやスマホにインポートして使われるデバイス認証が代表的な利用形態です。
メリットは、各認証局から発行されたSSLサーバ証明書を使ったサーバ認証の場合、正しい所有者を証明することができます。自社で発行するプライベート証明書を使いPCやスマホにインポートすることで、デバイス認証に使用することも可能です。デメリットとしてはSSLサーバ証明書には有効期限があり、定期的な更新が必要でコストや手間がかかることが挙げられます。
これらの認証方式を導入するには、いくつかの方法があります。デバイス認証を行う場合は、NetAttest EPSのように、さまざまなネットワーク認証に対応した製品を設置すると簡単です。
上記について、それぞれの特長を簡単にまとめておくと、以下のようになります。
| 認証方式 | メリット | デメリット |
|---|---|---|
| IDとパスワード | 特定の端末や道具が不要 | 記憶に頼るため単一パスワード利用で流出時のリスクが大きい |
| セキュリティトークンや乱数表 | 第三者の不正アクセスを容易に防ぐことができる | あらかじめ発行しておく必要がある 紛失・盗難のリスクがある |
| 生体認証 | 紛失の心配がない 複製のリスクが小さい |
生体情報の登録に時間が掛かる |
| 電子証明書 | サーバ認証の場合は正しい所有者を証明できる、デバイス認証に使うこともできる | 有効期限があり、定期的な更新が必要 |
二要素認証でよりセキュリティを向上させるためのポイント
二要素認証を導入すれば完璧という訳ではありません。二要素認証を導入して、より安全にサービスを提供するためには、次のようなポイントに注意する必要があります。
生体認証を活用する
生体認証は、ユーザーにとっても比較的使いやすく、強固なセキュリティを確保できる認証方式です。処理速度も向上しているため、利用しやすくなっています。以前は生体認証の導入に手間と費用がかかりましたが、現在では SmartOn ID のような生体認証サービスも提供されているため、容易に導入できます。
ユーザーのセキュリティに対する意識を高める
不正アクセスは「情報の漏えい」が原因になっているケースも多いといえます。漏えい元は「サービス側」だけでなく、「ユーザー側」でも起こっています。IDやパスワード、セキュリティトークン、乱数表、スマートフォンなど、認証に利用するものの管理を徹底するように、ユーザーへの啓蒙活動を行いましょう。
強固なセキュリティであっても完璧ではないことを認識する
二要素認証をはじめとする多要素認証は、これまでのIDとパスワードによる単要素認証よりもはるかに強固なセキュリティを実現できます。しかし、自社のサービスに二要素認証を導入したからといって安心してはいけません。サービスを提供する側としては二要素認証を過信せず、常に最新の情報をキャッチアップし、リスクへの対策を怠らないことが最も重要です。
まとめ:
二要素認証は安全性の高い認証方式、でも過信は禁物
二段階認証と二要素認証は、名前は似ていますがまったく異なるものです。現在では、二要素認証を活用するのが最も安全性の高い認証方式と言ってよいでしょう。ただし、より安全な認証方式を利用していても、ずさんな管理が原因で認証デバイスを紛失する(盗難される)、「面倒だから」という理由で利用しない、という状況では意味がありません。
不正アクセスを防いで安全に認証を行うためには、サービスを提供する側もユーザー側も注意が必要です。サービス側は、認証方式のセキュリティを過信せずに最新情報に注意し、ユーザーへの啓蒙を続けなくてはなりません。また、ユーザー側も、面倒がって手間を省いたりせずに、認証の要素をきちんと設定して、正しく利用することが重要です。
