会員サイト構築の記事
ARTICLE二段階認証とは?仕組みやメリット、注意点などを徹底的に解説
昨今では「二段階認証」というワードをよく耳にします。しかし、実際にどういった役割を果たすのかわからない方も多いのではないでしょうか。そこで今回は二段階認証の種類や、よりセキュリティを強固にする方法に関して解説していきます。
目次
二段階認証とは
IDやパスワード入力時に、サイトに別の認証を要求されたことはありませんか?近年、2回に分けた認証が一般になってきています。そこで以下、二段階認証の定義と、二要素認証との違いについて詳しく解説していきます。
IDパスワードを組み合わせた二度の認証
Webサイトやソフトウェアにログインし、画面を進行させていく上でもう一度求められる認証のことで、2回にわたるログインのことを指します。二段階認証は基本的に2種類あり、そのサイトで決められたログインIDやパスワードを2回連続で打ち込む方法と、もう1つはログインIDとパスワードとは異なる方法で再度ログインをする方法です。違う方法でも同じ方法でも2回行うことが二段階認証です。それぞれ強みがあり、特色もあるので企業によって使い分けられています。
二要素認証との違いについて
IDやログインパスワードに加えて、トークンやSMSを使用し、「二要素」を用いたログイン方法です。従ってIDとパスワードを2度使う「二段階認証」とは異なります。二要素認証はパスワードなどの知識要素と本人のみわかる所有要素を組み合わせるもの。ただ知っているのみでは本人確認が取れず、「所有している」ことなどの提示が必要であり、より強固な認証方法といえます。
二段階認証とは|二要素認証との違いや安全性と構築時の手順や注意点
なぜ二段階認証が必要なのか
以前までは二段階認証というシステムすら存在しませんでした。しかし、時代の移り変わりに伴って、二段階認証が必要になり、一般的に取り扱われるようになってきたのです。二段階認証が必要になってきた理由は大きく分けて3つありますので、以下解説していきます。
不正ログインが増えているから
約10年前から、Web上での個人や企業の情報を狙った犯罪事例が増えてきたからです。2015年後半からハッキングや情報漏洩などの問題が増加しました。企業にとってはセキュリティに一度問題が起きれば、顧客からの不信感につながり、セキュリティの改善、確立が必須の課題になってきます。中には特定の人間が赤の他人のフリをして、セキュリティを突破してくる「なりすまし」があります。こういったことを防ぐために、セキュリティの強化が必須となっています。
円滑に企業を運営するため
事業を進めていく上で無駄な時間を削減できます。セキュリティを強固にするということは、言い方を変えると情報漏えい等が起きずに、マイナス面での対応が減少するとも言い換えられます。そのような対応を減らすことができれば、本来やるべく事業の成長などに時間を割くことが可能となります。
一段階では突破されやすいから
パスワード認証のみであれば、セキュリティの強度が弱く、規則性が単純であれば他人が進行できる可能性が高いです。認証を複数パターン用意することで、対策となりえます。
二段階認証を導入するメリット
二段階認証の導入が増加している理由や時代背景などについて説明してきました。ここから明らかなように享受できるメリットも多く存在します。一体、二段階認証にはどのようなメリットがあるのでしょうか?大きく分けて2点、解説していきます。
アカウントの不正取得を防げる
いわずもがな、Web上での侵入者によるハッキングを防げます。一段階と比べてログイン難易度が上がり、一般人では取得できない領域だからです。一段階であれば、ログインパスワードやIDを入力してもらい、本人確認を行います。しかしこの手法ではなりすましなどを防止できません。そのとき二段階認証を行えば、本人確認の精度を厳格化できるので、不正操作を阻止できる可能性が高まります。指紋認証やUSBによる認証など、より強固なものまであるので特性に合ったものを選択していきましょう。
パスワード認証の脆さを賄える
推測されやすい容易なパスワードを使ってしまう問題はいまだに多く存在しています。ユーザーはなるべくかんたんにログインしたいという気持ちもあるためです。半ば強制的にも二重ログインと形を取り入れておくことで、セキュリティを高めることができます。
二段階認証の種類
二段階にはさまざまな種類があり、特性があります。向き不向きなども含めて以下解説していきます。
SMSを使用した認証
携帯電話宛てに送信されたSMSから認証コードを取得し、指定された画面に入力する方法です。携帯電話の番号さえあればかんたんに取り入れられるので、多くのサービスで普及しているといえます。SMSの認証であれば、仮に一段階で突破されたとしても、携帯がなければ突破できません。しかし近年では、偽のSMS認証メールが届くことがあるので、ユーザー側がそれに気づかず記入してしまうリスクもあります。
メールや音声通話による認証
着信時に流れる自動音声によって認証コードが確認可能です。電話口で告げられた番号を画面上に打ち込むことで完了します。またメールを利用する認証では、自身のメールアドレスに向け、認証コードやワンタイムパスワードが送られるため、発行に料金も発生しません。
トークンを使用する認証
ワンタイムパスワードの発行する機器を利用した認証方法です。使い方もかんたんで、デバイス上に表示された認証コードを30分以内など制限時間内に入力するだけとなります。セキュリティが非常に高く、ネットバンクや暗号通貨、オンラインゲームなどで採用されています。とにかくセキュリティを高く保ちたい、自社や周辺で二段階認証におけるトラブルがあり、不安など抱えている企業にはおすすめです。ただし、発行手数料が比較的高いなどの課題もあります。
特定のアプリを使用した認証
「Google Authenticator」などの専用アプリを経由して認証を行う方法です。スマホを普段利用している方であれば、容易に導入することが可能です。指紋認証や顔認証、QRコードなど認証方法もさまざまです。QRコードであれば自身のスマホを使用し、まずはインストール。アプリ上で二段階認証を設定し、アカウントとの紐付けを行います。表示されたQRコードを専用アプリで読み取れば完了です。ただし、アプリによっては引き継ぎやバックアップ機能がなかったり、ログインを間違い続ければ、ログインできなくなるなど報告もあるので、事前に特定のアプリの特徴をリサーチして導入しましょう。
USBなどを使用した認証
セキュリティキーを使用したUSBメモリ型のデバイスを利用した認証方法です。あらかじめ利用するサービスのアカウントと紐付け登録をすることで、セキュリティを所持していることが本人確認の証となる仕組みです。パソコンにそのままUSB端子を差し込むタイプやBluetoothで接続するタイプが存在しています。二段階認証としては非常に優れたセキュリティレベルを誇るといわれていますが、導入費用が高く参入障壁が高いので一般的に普及するにはまだ時間がかかるとも言われています。
二段階認証の導入対象サービスと実現手段
ここからは、二段階認証の対象サービスと種類について解説します。
二段階認証の導入対象サービス・導入手段
二段階認証の対象となるサービスと、導入手段について解説していきます。
二段階認証の導入対象サービス
認証手段が必要なサービスは
- 業務用システム
- 各種商用システム
など多岐に渡ります。
これらのサービスを利用する際は、ユーザーIDやパスワードを入力することでログインし、各種サービスを利用できる、単一ステップの認証方式(単要素の認証方式)を取るのが一般的なスタイルです。
一方、これらのシステムの中でも、決済機能を搭載するECサイトや、個人情報およびそのほか秘匿性の高い情報を扱うサイトでは、その性格上二段階認証などの安全性を高めた認証方法が利用されます。
二段階認証の導入手段
二段階認証の導入手段としては、ベンダー各社が提供するソリューションを導入するのが一般的な方法です。知識、所有、生体情報の各種要素を組み合わせて利用する認証ソリューションが各社から用意されています。
ベンダー各社のソリューションには、主に以下2つの型があります。
- クラウド型
- オンプレ型
クラウド型ソリューションは、ベンダー各社が提供する各認証方式を実行するためのAPIを利用し、サーバー上で各種サービスを駆動する方法で、早期にサービスの開始が可能です。
もう一つのオンプレ型ソリューションは自社でサーバーおよびソフトウェアをすべて調達する方法です。
また、ソフトウェアの調達も2つの方法があります。
- 自社でソフトウェアも含めて開発する方法
- ベンダーよりソフトウェアの提供を受け、二段階認証を実現する方法
すべてを自社で用意すれば、自社の要求仕様に限りなく近いシステムの構築が可能となりますが、反面、考慮すべき点があります。システム構築の経験や技術力に加え、開発エンジニアの確保ならびに開発する期間の猶予が必要となります。以上の条件がすべて整うのであれば、すべて自社で用意するオンプレが望ましいですが、多くの場合いずれかの条件がクリアできないため、すべての条件を並べ、最適なアプローチを選択します。
二段階認証の実現手段
二段階認証の主要な実現手段を解説していきましょう。
パスワード、ワンタイムパスワード
ユーザーIDとパスワードによる認証はユーザーの知識要素を利用した方法で最もシンプルな認証手段です。シンプルであるがゆえに第三者にかんたんにばれてしまうことのないように、運用によってこれをカバーしなければなりません。
下記の運用ルールを取り決め、できる限り厳正に運用していくことが望ましいです。
- 関係者の名前や誕生日、メモリアルデーなど容易に想像がつく文字列は回避
- 英数字、大文字と小文字を組み合わせ
- 一定期間経過したら変更
ワンタイムパスワードはオンラインバンキングで銀行が比較的よく使っている認証方法です。外見はUSBメモリのような形をしていて、数桁の数字を表示させるLCDディスプレイがついているセキュリティトークンまたは専用トークンといわれるデバイスを使います。このデバイスが一定周期で自動生成する数桁の乱数列を使用します。
セキュリティトークンは従来、専用のデバイスを用意する必要がありましたが、最近ではスマホ上のソフトウェアとして用意したトークンを利用する方法も使われています。
パスコード
最近、各種ECサイトやSNSサイトでよく用いられている認証手段で、スマホやタブレットなどの所有要素を利用した方法です。
手順は以下のとおりです。
- 一段階目の認証としてユーザーIDとパスワードによる認証
- 二段階目の認証としてパスコードによる認証
一段階目の認証に成功した後、認証サーバーから登録済みスマホやタブレット宛にショートメッセージ(SMS)が自動的に送信され、その中身に数桁の文字列が記載されています。ユーザーはこれを確認して、システムの認証要求画面に認証キーとして入力することでサービスへのログインなどが許可される仕組みです。
乱数表認証
ユーザー毎に異なるランダムな数字を埋め込んだ乱数表を提供する方法です。この乱数表を使い行と列を指定することにより、表示された数字を複数回読み出し、これらの数字列や文字列を認証キーとして入力します。プラスチックのカードに書き込まれた乱数表をユーザー個々に配布して使用している銀行などもあります。
デバイスを利用した認証
サービスにログインするPCなどの端末に専用のデバイスを接続して認証する方法です。デバイスを保有していることが、サービスへのログインを許可されたユーザーであることが認証されていることを示します。専用のデバイスはUSBメモリのような形状をしており、端末との間はUSB端子やBluetooth通信経由で接続する方法が使われています。
生体情報を利用した認証
生体情報による認証は、人の身体的特徴を利用する認証方法で
- 指紋情報
- 静脈情報
- 虹彩情報
- 顔
の情報を利用します。
指紋による認証はすべての人によって、それぞれ異なる形状をしていることを利用した認証方法です。他人の指紋によって間違って認証されてしまうことはまずありません。この方法は比較的、古くから使用されている方法で、技術的にも成熟していることから安く実現できる利点があります。
静脈認証は、静脈を形成する血管の形状やその構成は人によって異なり一生変わることはない特徴を利用した認証です。体内の情報でもあることから改ざんすることは実質的には不可能であることから静脈は認証手段として使われています。
虹彩認証は、瞳孔の周辺にある虹彩に刻まれている細かなシワは人によって異なり、左右の目によってもその模様は異なることから虹彩を認証手段として使われています。
顔認証は、顔もほかの生態的な特徴と同様に一人ひとりが異なる特徴を有していることから認証手段として使用されています。
これらの生体情報以外にも、
- 人の声を利用する声紋認証
- DNA情報を利用するDNA認証
- 筆跡やマウス操作情報を利用する行動認証
などがあります。従来はコンピュータの処理スピードやメモリ容量の限界から、特定の分野でのみ使用されていましたが、最近ではコンピュータ技術の発展に支えられスマホなどでは、顔認証や指紋認証などがすでに使用されており、今後一層、その利用範囲は広がっていくものと考えられます。
二段階認証における注意点
Web上のセキュリティを高めるために普及されつつある二段階認証。しかし、二段階認証を実装していくうえで、注意点が存在することも事実です。事前に把握することで、導入後に心配するリスクも防げますので、以下のことに注意して導入を進めていきましょう。
携帯を紛失すれば元も子もない
最も盲点となりがちなのは、デバイス本体の紛失です。SNSやアプリにおける二段階認証は電話番号やメールアドレスに認証コードを送信することが多いです。よって、受け取る側のデバイス自体をなくしてしまえばログインすることが不可能になってしまいます。こういった場合はアカウント情報のリセットが必要ですが、電話番号に送る場合はスムーズに本人確認ができません。対策としては、あらかじめさまざまな方法で二段階認証をできるようにしておきましょう。電話番号とメールアドレス両方で確認が取れるようにしておくことが万が一の備えになります。
スマホの機種変更に注意しなくてはならない
スマートフォン端末情報で二段階認証を行っていれば、新たなスマホへ買い替えた際に認証ができなくなります。スマホの機種変更をする際は、あらかじめ二段階認証を解除し、次にすぐ移行の手続きを行えるようにすることが賢明です。
フィッシング詐欺やウイルスを処理できない
TwitterやFacebookなどの偽物サイトが横行しているプラットフォームで騙されてしまうと、どうすることもできません。すぐに自身のアカウント情報を入力したと思われるサイトにログインし、パスワードの変更をおすすめします。アカウントが乗っ取られていることを知ったら、「パスワードを忘れたら」のようなフォームからパスワードの再発行を行いアカウントを取り戻しましょう。Web上でコンテンツや商品を購入されクレジットカードを不正利用されてしまったり、オンラインゲーム上でアイテム購入されたりと、金銭被害を受けた場合は通報するべきです。
推測されづらいパスワードの設定をユーザーに求める
個人や企業の情報に直接結びつかない情報をパスワードに設定してもらいましょう。ダメだと知っていても短い文字数やシンプルな文字列を設定したり、さまざまなサービスで同じパスワードを使用したりしがちです。こういった脆弱なパスワードを使用すると、アカウントの盗難率がかなり大きくなってしまいます。1つのアカウントのパスワードを盗まれればその他サービスも情報を抜かれてしまうリスクがあります。利用する文字の種類を大文字、小文字、数字などを駆使し、16文字近く用いることが推奨されています。ただし、覚えられなければ本末転倒なので、必要に応じてユーザーにパスワード管理アプリなど利用を推奨すること大切です。
二段階認証のセキュリティをより強固にする方法
安心して便利なWebサービスを利用していくためには、二段階認証に関する理解を深めるだけでなく、慢心せず常にセキュリティレベルの向上を考えておくべきです。以下、具体的な方法について解説していきます。
企業にあった認証を用いる
もっとも一般的な二段階認証はSMSの利用といわれていますが、専用デバイスや生体認証、USBなどの物理デバイスなど存在します。SMSによる、二段階認証を導入する際はSMS配信サービスを選択することから始めます。SMSを必要なタイミングで特定の電話番号に送信する場合には、API経由で連携しておく必要があります。配信サービスの選択によって、会社の手順も異なるので、実装の確認を行いつつ、ミスなくリリースできるようにしましょう。
二段階認証しているから安心と思わない
二段階認証を狙った手口が増加し続けていることも間違いありません。攻め手は二段階認証の普及率も把握しており、それを乗り越える手を打って利益を得たいからです。具体的には金融機関などを装った偽のメッセージがあります。「セキュリティに不備があります」や「口座の確認をしなければ乗っ取られます」等不安を煽る内容が多いです。
そしてその認証を進めば、偽の二段階認証サイトへ誘導されることがあります。当事者からすれば、いつもと変わらぬ風景で、疑いもなく情報が抜き取られるケースも少なくないといいます。ユーザーにはそのようなケースがあることを定期的に注意喚起するようにしましょう。
二段階認証の安全性は問題ないのか?セキュリティ観点での詳細を解説
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
サービスの詳細については「会員管理・会員サイト構築ソリューション」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
今回は二段階認証について解説しました。時代の変化に応じて二段階認証は必要となりました。アカウントの不正取得を防いだり、パスワード認証の脆弱性をカバーしたりできるので導入するメリットは豊富です。しかし注意点も複数あり、油断せずセキュリティを常にアップデートしていく必要があります。万全のセキュリティのSPIRAL®️をうまく活用し、企業運営に活かしてみませんか?
