会員サイト構築の記事
ARTICLE二段階認証の安全性は問題ないのか?セキュリティ観点での詳細を解説
セキュリティ対策として多くのWebサイトやアプリで二段階認証が採用されています。しかし、二段階認証は、本当に安全なのでしょうか?二段階認証がセキュリティ対策として有効なのか、仕組みを含めて解説していきます。
目次
認証とは?
二段階認証について詳しく理解するために、まずは「認証」とは何かを解説します。
認証とは、通信しているユーザーが本人かどうかを確認する方法のことです。
利用者が本人かどうかを識別する情報は、以下の3つに分類できます。
・知識情報
・生体情報
・所持情報
それぞれの情報を活用した認証について、詳しく解説していきます。
知識情報による認証
知識情報でよく利用されるのは「ID」や「パスワード」です。
IDで一人一人の利用者を区別し、本人にしか知り得ないパスワードで認証を行います。
様々なネットサービスにアクセスする際、「ID」及び「パスワード」の入力を求められることが多いため、馴染みがあるかと思います。
他にもよくある「秘密の質問」や、画面上を特定のパターンでなぞって記憶する「パターン情報」も知識情報の1つです。
生体情報による認証
生体情報は、個人によって異なる身体的特徴のことです。
指紋や顔などの生体情報をあらかじめ登録しておき、本人かどうか認証を行います。
最近では、パソコンやスマートフォンのロック解除で、指紋認証や顔認証が日常的に使われるようになってきました。
所持情報による認証
所持情報には以下のようなものが挙げられます。
・SMS(ショートメッセージ)
・ワンタイムパスコード
・ICカード
・ハードウェアトークン(ワンタイムパスワードを作る機器)
あまり馴染みがない仕組みかも知れませんが、身近な所で使われています。
たとえばSMSであれば、何かのサービスに登録をする際、所有するスマホにメッセージが送られ、そこに記載されている情報を入力することで登録完了といった仕組みです。
本人しか持ち得ない「もの」を利用することで認証します。
認証セキュリティの欠点
ここまで紹介してきた認証にはいくつか欠点があります。
例えば、不正アクセスによって知識情報が漏えいしてしまうと「なりすまし」が簡単にできてしまいます。
生体情報に関しても、知識情報ほどのリスクはありませんが、漏えいの可能性はあります。万が一漏えいしてしまった場合、安全性の回復が難しいです。
所持情報は、破損や紛失、盗難といったリスクが考えられます。
このように、1つの認証だけを行っていると、漏えいした時にだれでも簡単にログインできてしまい、最悪の場合様々なサイトへのログインを許してしまいます。
これらのセキュリティ対策として、多く採用されてきているのが、二段階認証といった方式です。ここからは二段階認証について詳しく解説していきます。
二段階認証とは?仕組みは?
インターネットを使用する際に登録する個人情報を守るため、二段階認証を採用するWebサイトやクラウドサービスが増えています。
二段階認証とは、どのようなもので、どのような仕組みになっているのか解説していきます。
IDとパスワードの認証にプラスする
二段階認証とは、通常のIDとパスワードによるログイン認証とは別に、もう1回本人確認をする認証です。
現在では、さまざまな方法で不正ログインがされており、一般的なIDとパスワードの認証では万全なセキュリティとはいえません。
そこで通常のログイン認証にプラスして別の方法でも本人確認を行うのです。
二要素認証とは異なる
二段階認証は、二要素認証と似ていますが、この2つには認証する方式に関してルールに違いがあります。
二段階認証…本人確認を二回行う方法ですが、認証する方式は同一でも問題ありません。
二要素認証…二段階認証と同様に二回本人確認を行いますが、認証方式は一回目と二回目で別々にする必要があります。
二段階認証は、二回の認証方式にルールを設けていない認証方法で、二要素認証は二段階認証の中の一つと捉えておくと良いでしょう。
二段階認証のセキュリティは安全?
ログイン認証で二回本人確認をする二段階認証ならば、セキュリティは安全といえるのでしょうか?
二段階認証の安全性について解説していきます。
パスワード認証の防御をより強力にする
今までのIDとパスワードだけの認証方法では、パスワードが流出した場合に、誰でもログイン可能な状態を作ってしまいます。
二段階認証を採用することで、パスワードが流出した場合でも二つ目の認証でログインを不可能にできます。
リスト型攻撃の対策としても有効
近年、不正ログインに多く使われるのがリスト型と呼ばれる攻撃です。
ほかのサービスなどから入手しておいたパスワードをリスト化し、別々のサービスで同じIDとパスワードを使い回しているアカウントを狙います。
二段階認証は、本人確認を二回行う方法でリスト型攻撃に対抗します。
リスク回避には異なる認証方式にする
パスワード認証の強化も、リスト型攻撃の対策にも二段階認証の二つの認証方式を別々にする必要があります。
認証方法を二段階にしても同じ認証方式(IDとパスワードの認証)を二回するのでは、パスワードが流出した場合に対策できません。
二段階認証の本人確認を有効に活用するためにも、二回目の認証方式には一回目とは別の要素を使う認証を設定しましょう。
二段階認証のセキュリティを強化するには?
二段階認証でより安全性を高めるためには、どうすればよいのでしょうか?
二段階認証を活用する
まず大前提として、ログイン認証の方法で二段階認証を活用しましょう。
多くのWebサイトやクラウドサービスで二段階認証を採用していますが、二段階認証を使っていない人もいます。
パスワードを複雑にしているから流出することはないと過信したり、認証を二回行うのが面倒だという理由で使わない人が少なくありません。
パスワードの流出は、どこで起こるかわからないので、自分でできる対策をきちんとしておきましょう。
自分だけが使える方法を取り入れる
二段階認証では、パスワードのように流出する心配のない方法を使うとよいでしょう。
二つ目の認証方式では、自分のみが使用できる認証方法を使います。
たとえば、身体的特徴で認証させる生体認証を活用すれば、何かを覚えたり使用したりする手間もありません。
変化が起こりにくく、また盗用されにくい生体認証の方法を選択するとより安全でしょう。
端末を分けてSMSなどを利用する
二段階認証のセキュリティをより高める方法として、ログインする端末と認証を行う端末を分ける方法があります。
事前に登録した端末へログイン認証に必要となるセキュリティコードを送り、ログインする別の端末でコードを入力する方法です。
金融機関の取引サービスなどで、よく採用されている認証方法なので使ったことのある人もいるでしょう。
IDとパスワードでログインをした後、銀行から送られてくるハードウェアトークンに表示される番号を入力する方式です。
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
まとめ
Webサイトやクラウドサービスでアカウントに個人情報を登録している現代では、ログイン認証のセキュリティ対策が大事です。
安全性を高めるために、二段階認証を活用するのがおすすめですが、仕組みを知ることで必要性が理解できるでしょう。
不正ログインやなりすましにセキュリティ効果の高い二段階認証を用いて個人情報を守りましょう。
