二段階認証・多要素認証が必要な理由

Webサイトへのログインやサービスを利用する際に、ID・パスワードの入力だけでなく、ワンタイムパスワードなど別の認証を求められることがあります。このように、ログイン時に二段階、または複数回の確認を設けている認証方式を「二段階認証」「多要素認証」と呼びます。

複数の認証が必要になった理由としては、ネットバンキングを悪用した不正送金、SNSのアカウントの乗っ取りやなりすまし、データの改ざん・削除など、サイバー犯罪による被害が多発していることがあります。オンラインバンキングやクラウドサービスの利用が広がる一方で、サービス提供側からの情報漏えい、パスワードの使い回し、巧妙化するフィッシング詐欺などにより、ログイン情報が第三者の手に渡る可能性が高まりました。複雑なパスワードを設定しても解析ツールで簡単に突破されるケースが増え、従来のID・パスワード認証では不十分になってきたのです。

現在、こうした被害を未然に防ぐためのセキュリティ対策として、二段階認証や多要素認証が導入されています。

二段階認証の仕組みと種類

ログイン時に二段階の認証を行うものが、二段階認証(2SA:Two-Step Authentication/2FA:Two-Factor Authentication)です。

二段階認証には、さまざまな種類・特性があります。

●SMS・メールを使用した認証
ID・パスワードの入力後、携帯電話あてに送信されたSMS(ショートメッセージサービス)から認証コードを取得し、画面に入力する。設定が簡単なため、多くのサービスで利用されている。メールや自動音声によって認証コードが伝えられることもある。

●トークンを使用する認証
デバイス上に表示された認証コードやワンタイムパスワード(1度だけ使用できるパスワード)を制限時間内に入力する。セキュリティトークン(利用権限のある利用者に与えられる物理的な装置で、カード型やキーホルダー型などがある)を持っている人でなければログインできない。セキュリティが非常に高く、ネットバンキングや暗号通貨などで採用されている。

●質問を用いた認証
あらかじめ登録した質問と回答の組み合わせによって認証する。例えば「母親の旧姓は?」「出身地は?」「ペットの名前は?」といった質問に対して回答する。

●物理デバイスでの認証
USBメモリ型のデバイスを端末のUSBポートに差し込んで認証を行う。Bluetoothで接続するタイプもある。いずれもデバイスを持っていなければログインできない。導入費用が高いため、一般的には普及していない。

●特定のアプリを使用した認証
専用アプリを経由して認証を行う。指紋認証や顔認証、QRコードなど認証方法もさまざま。例えばQRコードであれば、自分のスマホにアプリをインストールし、アプリ上で二段階認証を設定し、アカウントとの紐付けをすれば利用できる。

多要素認証とは? 二段階認証との違い

二段階認証と混同されやすい認証方法に「多要素認証(MFA:Multi-Factor Authentication)」があります。二段階認証は認証の段階を2回経て認証します。同一の要素を組み合わせることも可能です。一方、多要素認証は「知識」「所有」「生体」のうち、2つ以上の認証要素を組み合わせて認証します。

●知識要素
ID・パスワードやPINコード(暗証番号)など、本人があらかじめ登録した「知識」を使用する。人の記憶力に依存するので、複数の情報を覚えるのが大変で管理が難しい。使い回しによって安全性が低下する。

●所有要素
ICカード、トークン、端末内に登録されるデジタル証明書(マイナンバーカードも含む)など、特定のアイテムやデバイスを使用する。導入・管理・保守にコストがかかり、紛失や故障、盗難のリスクがある。

●生体要素
指紋や顔、声紋、静脈・虹彩など、体の一部の情報を使用する。位置情報も生体要素に含まれる。持ち歩く必要がなく、紛失や盗難のリスクが低い。生体情報を読み取る認証器が必要となる。

それぞれのメリット・デメリット

二段階認証を導入する大きなメリットは、セキュリティが向上することです。一段階と比べてログイン難易度が上がり、不正操作を阻止できる可能性が高まります。例えば、パスワードの使い回しによる脆弱性をカバーすることができます。また、ログイン時にSMSなどのツールを介するため、ログイン情報の通知をリアルタイムで受け取れます。不正なログインがあったときは、心当たりのない通知が来るため、不正に気づきやすくなります。

二段階認証のデメリットは、手間とコストがかかることです。ログイン時に二段階のステップがあるため、通常より時間がかかります。「Google Authenticator」などのアプリを使う場合、事前にGoogleアカウントと紐付ける必要もあります。認証方法によっては、認証機器の導入にコストがかかってしまうことも。また、デバイスを紛失してしまうとログインができなくなります。

二段階認証を使用する際、注意しなくてはならないのは、偽造メールです。偽のSMSを送信して二段階認証させる詐欺が横行しています。送信元を必ず確認してから手続きをすることが重要です。

多要素認証のメリットは、脆弱性のあるパスワードだけの単一認証よりも、不正アクセスのリスクを低減できることです。性質の異なる認証要素を組み合わせるため、二段階認証より高い安全性を確保できます。指紋認証や顔認証といった生体認証を組み合わせている場合、攻撃者が認証を突破するのは困難となります。社外からのアクセスが前提となるテレワーク環境では、セキュリティポリシーの維持だけでなく、コンプライアンスの遵守にもつながります。

一方で、認証の手間が増え利便性が低下するデメリットがあります。また、導入や運用にコストがかかること、デバイスの紛失・故障時に対応が必要なこともデメリットになります。

二段階認証・多要素認証の導入はセキュリティ強化にとどまらず、企業においては顧客からの信頼性向上にも大きく寄与します。アクセス認証における強固なセキュリティ対策は顧客に安心感を与え、ブランドイメージの向上につながります。サイバー攻撃や情報漏えいが増加する現在において、信頼性や顧客満足度を高めるための重要な取り組みといえるでしょう。

もっと知りたい!Pickup IT用語INDEXへ