会員サイト構築の記事
ARTICLE二要素認証とは?二段階認証・多要素認証との違いや導入ポイントも
二要素認証は本人確認をする認証方法の1つで、従来のパスワードによる認証方法よりも高い安全性を持っています。今回の記事では二要素認証とはどういった認証方法なのか、二段階認証との違いやセキュリティ強化のために意識することや導入のポイントについて解説しています。
目次
前提条件として知っておくべき認証の三要素
二要素認証とは何かを知る前に、認証に使われる要素について説明します。認証の要素は、大きく3種類に分けられます。
- 知的要素
- 所有要素
- 生体要素
順番に見ていきましょう。
知的要素
知的要素とは、利用者だけが知っている情報によって認証する方法です。具体例として、パスワードや暗証番号、PINコード、秘密の質問があります。従来、ほとんどのセキュリティはID+パスワードで認証されていました。パスワードを長くしたり複雑な記号や数字を組み合わせたりすることでセキュリティ強度が上がりますが、のぞき見されたりフィッシング詐欺にあったりすることによってパスワードが流出してしまうリスクもあります。
また、生年月日や車のナンバーなどを暗証番号やPINコードに設定した場合推測されて盗まれることもありますので、完璧な認証方法ではありません。
所有要素
所有要素とは、利用者だけが持っている物で認証する方法です。具体的にはICカードやUSBトークン、一定の時間でパスワードが変化するセキュリティトークン、銀行が発行する乱数表があります。また、トークンや乱数表は発行にコストがかかるデメリットがありますが、スマートフォンのアプリで発行した鍵を利用する方法や、SMSでパスワードを送信したり指定された電話番号に電話をしてパスワードを認証したりする方法もあります。
生体要素
生体要素とは、利用者自身を鍵として認証する方法です。具体的には本人の指紋や顔認証、静脈、眼の網膜や光彩を利用する場合があります。ICカードやセキュリティトークンのようにデバイスを持ち歩く必要はなく、身ひとつで認証できる点がメリットです。
二要素認証とは
前提である認証の3つの要素を踏まえた上で、二要素認証とは何かを見ていきましょう。注目されている背景や、実際に使われている例も紹介します。
二要素認証とは?
二要素認証とは、2つの要素を組み合わせることでセキュリティ強化を図る認証方法です。パスワードだけでログインできていた一要素の仕組みと違い、二要素認証では知的要素、所有要素、生体要素の中から2つ揃っていないと認証ができない仕組みとなっています。一般的にはIDとパスワードに加え、所有要素か生体認証で認証するパターンが採用されるケースが多いでしょう。本人だけが知っている要素に加え、本人だけが持っている物や本人の情報を読み取ることでセキュリティをより強固にできます。
二要素認証が注目されている背景
二要素認証が進んでいる背景として、セキュリティ強化が挙げられます。従来、認証はIDとパスワードなどの一要素の場合がほとんどでした。しかし上記でも述べたように、パスワードはのぞき見やフィッシング詐欺によって盗まれてしまう可能性があります。また、パスワードを長く複雑にしてセキュリティ強化を上げても複雑さから忘れてしまうことを恐れ、メモに書き残す人もいます。そして、そのメモを盗まれる場合もあります。二要素認証は、IDとパスワードだけの脆弱性をカバーしようと導入が進んでいます。
二要素認証の事例
二要素認証は、私たちの身近なところで使われています。事例として、ATM、ホテルのセキュリティボックス、PCのログイン、リモートアクセスについて見ていきましょう。
ATM
銀行のATMは所有要素であるキャッシュカードと知的要素である暗証番号を組み合わせた二要素認証です。インターネットバンキングではログインするのにキャッシュカードは要りませんが、IDとパスワード、トークンやスマホを利用した認証方法でログインしますので、二要素認証を採用しています。
ホテルのセキュリティボックス
ホテルのセキュリティボックスも、所有要素である鍵と知的要素である暗証番号を組み合わせた二要素認証です。最近では暗証番号の代わりに生体要素である静脈で認識するセキュリティボックスもあり、よりセキュリティ強化を図る例もあります。
PCのログイン
PCにログインする際使われているのは、知的要素であるIDとパスワード、所有要素であるICカードや生体要素である指紋、静脈や顔認証を組み合わせた二要素認証です。PCには大量の情報が入っています。もし悪意のあるものがPCにログインしてしまった場合、重要情報や個人情報が盗まれてしまう可能性もありますし、持ち主になりすましてさまざまな犯行が行われてしまう危険もあります。
近年のテレワーク普及により、PCを持ってワークスペースやカフェで仕事する人も増え、意図せずとも他人の目にPCを晒す機会も増えています。会社のPCはもちろん、個人のPCへの不正ログインも絶対に許してはなりません。
VPNを介したリモートアクセス
VPNを介したリモートアクセスには、知的要素であるパスワードと所有要素であるトークンを利用した二要素認証が使われています。VPN(Virtual Private Network)とは仮想専用回線の意味を持ち、専用の回線を仮想的に作ったり提供したりするサービスを指します。VPNを使うことで公衆回線を利用していても専用回線を使っているセキュリティ技術を実現できます。
二要素認証と二段階認証と多要素認証の違い
二要素認証と間違いやすい認証方法として二段階認証と多要素認証があります。順番に見ていきましょう。
二段階認証
名前が似ていて混同されがちですが、二段階認証では認証作業を2回行います。二要素認証の特徴である3つの認証要素のうち違う2つの要素を組み合わせる必要はありません。たとえばパスワードを入力した後、さらに同じ要素である秘密の質問で認証します。2回認証作業を行うことにより、一要素の認証方法より強いセキュリティを図れますが、完璧な認証方法であるとはいえません。
二段階認証とは?二要素認証との違いや安全性と構築時の手順や注意点
多要素認証
多要素認証とは3つの認証要素のうち2つ以上を組み合わせます。二要素認証も2つの異なる認証要素を組み合わせるため、二要素認証は多要素認証の中のひとつともいえます。多要素認証は2種類以上の認証方法を組み合わせるため、二段階認証や二要素認証よりも高いセキュリティを図れますが、何度も認証作業が必要になるので、利用者が面倒だと思ってしまうことがややデメリットといえます。
多要素認証とは?二要素認証との違いや安全性と構築時の手順や注意点
二要素認証のメリットとデメリット
二要素認証にはメリットだけでなく、デメリットとなりうる特徴が存在します。
自社の求める要件と照らし合わせながら二要素認証のもつ特徴を理解することで、他の認証方法を検討するきっかけとなることもあります。
事前に自社の求める方針を踏まえた上で検討してみましょう。
二要素認証のメリット
二要素認証には一段階認証や二段階認証、多要素認証にはないメリットが存在します。ここではそんな二要素認証のメリットを解説します。
セキュリティと利便性を両立しやすい
二要素認証は一段階認証や二段階認証、多要素認証に比べてセキュリティ強度を上げながら利便性も両立させやすいです。
単一要素による認証を行う一段階認証や二段階認証とは異なり、複数の要素を用いて認証を行う必要があるため、セキュリティ強化に繋がります。また、多要素認証と比べると少ない認証でログインが可能なので、運用効率の向上に寄与します。
このように、二要素認証はセキュリティと利便性のバランスの取れた認証方法であるといえます。
ただし、「セキュリティ強度をさらに上げたい」「ログインを簡易化したい」など、求める条件や状況によって適した認証方法を選択することが重要です。
セキュリティと利便性に関する要件がない場合は、まず二要素認証を導入し、ユーザーの意見などを反映して他の認証へ切り替えることで合理的な運用ができるようになるのではないでしょうか。
生体要素を含んでいれば「なりすまし」が難しい
知的要素や所有要素は本人でなくても、第三者がパスワードなどの情報を知っている場合は本人に詐称してログインすることが可能になってしまいます。
桁数によっては、時間を要さずに全てのパターンを入力する「ブルートフォース攻撃(総当たり攻撃)」によってパスワードを解読ができてしまいます。数字の桁を増やしたり、パスワードに文字を含んだとしても解読されるのは時間の問題です。
また、近年では所有要素であっても、サイト管理者に欺瞞しSMSを送りつけ、パスワードを入力させて盗む、という手口も横行しており絶対的な信頼性を保有しているとは言い切れません。
このようにパスワードの漏洩対策には限界があります。
指紋や網膜などの生体要素は欺瞞が難しいため、なりすまされる可能性が低いです。生体要素を認証に含めることにより、信頼性の高い認証システムを構築できるでしょう。
二要素認証のデメリット
次に二要素認証のデメリットとなりうる特徴を紹介します。ただし、条件や状況によっては悪意を持った侵入者に対して効果的な「妨害」となるような特徴も存在します。
一面的に捉えるのではなく、さまざまな視点から理解して二要素認証が自社に適した認証方法であるか検討しましょう。
ユーザーが煩わしさを感じることがある
二要素認証は一要素のみでログインできないため、ユーザーに煩わしさを感じさせてしまうことがあります。
特に、一定の時間でパスワードが変化する「セキュリティトークン」や銀行が発行する「乱数表」を所有要素として使う場合は、別のデバイスも用意しなくてはならず円滑な運用を行う上での妨げになってしまうこともあります。
また、デバイスの準備にかかる費用もマイナス要素として捉えられることも認識する必要があります。
ユーザー向けのシステムに導入する場合は、こうした円滑に利用できる度合いである「ユーザビリティ」は製品に対する印象に大きく影響します。利便性とのトレードオフが発生することを理解した上で導入しましょう。
認証に使う全てのシステムが機能していなければならない
二要素認証では、認証に用いるシステムが全て揃わなければ正常に作動させることができません。
特に、所有要素や生体要素を用いる場合では専用のデバイスが必要になりますが、このデバイスが故障などの理由で使えなくなってしてしまうとログインができません。
全ての要素が揃っている状態でなければ利用できない認証方法を「会計」や「ワークフロー」などの根幹となるセクションに導入している場合は、業務に影響が出てしまうこともあるでしょう。
二要素認証を導入する際は、使用不能になった際に備えて代替認証方法を用意するなどの対策を行うと良いでしょう。
セキュリティを強化するために意識すること
セキュリティを強化するために意識することとして、以下の4つが挙げられます。
- パスワードを複雑な文字列で組み、使い回さない
- トークンや乱数表の管理の徹底
- 生体認証も盗まれる可能性があることを知る
- セキュリティに対する意識を常に持つ
順番に見ていきましょう。
パスワードを複雑な文字列で組み、使い回さない
パスワードを使い回さず一つひとつ設定することで、セキュリティを強化できます。以前、パスワードに関してはパスワードを使い回さないこと、複雑なパスワードを組むこと、パスワードを定期的に変更することでセキュリティが向上するといわれていました。しかし定期的な変更に関しては、現在は必要性は高くないといわれています。
定期的に複雑なパスワードを組もうとすることで、人は面倒だと感情から、以前使っていたパスワードを利用したり、覚えやすく推測されやすい安易な文字列のパスワードを組んだりするからです。またメモに残す可能性もあるため、定期的な変更よりはひとつのアカウントでひとつ複雑なパスワードを組んだ方がいいといわれています。セキュリティに強い複雑なパスワードの考え方としては以下のものがあります。
- パスワードの桁数を増やす
- 異なる種類の文字を組み合わせる
- 意味のある文言を使わない
- 利用者から想像できる文字列を使わない
これらを組み合わせて複雑なパスワードを作り、使い回さないようにしましょう。
トークンや乱数表の管理を徹底する
セキュリティトークンや乱数表の管理を徹底することで、セキュリティを強化できます。セキュリティトークンや乱数表の提供を受け、自分だけが持っている所有要素を鍵として認証することは確かにセキュリティが高い方法です。しかしその所有しているデバイスを無くしてしまったり盗まれてしまったりする可能性もあります。
もしパスワードも一緒に知られてしまった場合、盗まれた所有要素と組み合わせて認証できるので、個人情報を知られてしまうこともあります。取り扱いには十分注意が必要です。所有デバイスは基本的に自宅で保管し、外で使うときだけ持ち出すようにすると安心です。また、紛失や盗難の恐れがある場合はすぐに連絡し、新しいものを送ってもらう手続きを行いましょう。
生体認証も盗まれる可能性があることを知っておく
生体認証も盗まれる可能性があることを知っておくと、セキュリティはより強固になります。生体認証は本人の顔や指紋、静脈、目の網膜や光彩など本人にしか持っていないものを利用することから、高いセキュリティを誇ります。それと同時に、隠したり本人から離してどこかに置いたりしておけないリスクもあります。想像しやすいものにiPhoneの指紋認証があります。本人が寝ている間に指でスマートフォンに触れることで容易にロックを解除できます。
ほかにもピースして写真に写るとそこから指紋が盗まれる危険性が指摘されたこともあります。生体認証は一見他人に突破できない完璧なものだと思いがちですが、盗まれることもあるリスクを知っておきましょう。
セキュリティに対する意識を常に持っておく
セキュリティに対する意識を常に持っておくことが、セキュリティ強化に繋がります。今までさまざまな認証方法をお伝えしましたが、セキュリティ全般にいえることは、完璧な認証方法はないことです。これをしているから完璧だ、この対策をしたから大丈夫だという甘い意識が、セキュリティ効果を下げてしまう最大のリスクです。確かに二要素認証を取り入れることにより、パスワードだけだった一要素や同じ認証方法を使う二段階認証よりもセキュリティを向上させられます。
しかし利用者の意識によって二要素認証が持つセキュリティを低くしてしまうので、一つひとつの認証方法が安全を確保する上で重要な役割を果たし、少しの気の緩みでいくらでも漏洩してしまうことを理解しましょう。
二要素認証の導入ポイント
二要素認証の導入する際に、以下の2つのポイントがあります。
- 現在利用しているサービスと違う物を選ぶ
- 利便性の高い認証方法を選ぶ
順番に見ていきましょう。
現在利用している認証サービスと違うものを選ぶ
すでに認証サービスを利用している場合、現在利用している要素と違う認証方法を導入しましょう。同じ要素の認証方法をいくつ導入しても、不正アクセスからしっかりと身を守ることはできません。第一段階の認証要素がもし突破されたとしても、もうひとつの認証要素が個人情報を守ってくれるように違う認証方法を選ぶことが導入のポイントです。
利便性の高い認証方法を選ぶ
利用者にとって利便性の高い認証方法を選択することも、導入のポイントに挙げられます。二要素認証は本人確認の手間が増えるため、利用者が面倒だと感じたり利用したくないと思ったりすることもあります。セキュリティ効果が高い二要素認証をとりいれたとしても、利用者が敬遠してしまい、サービスを利用してくれなければ意味がありません。利用者にとって利便性の高い認証方法を取り入れることで、セキュリティ効果も高くサービスも利用してくれるようになります。
たとえば、スマートフォンを利用することで利便性を上げられます。SMS認証を使う場合、スマートフォンに送られてきたコードを入力するだけで済みますし、電話認証ではあらかじめ登録しておいた番号に電話するだけで本人確認ができます。このように、利便性を重視した認証方法も検討しましょう。
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
まとめ
二要素認証は異なる要素の認証方法を組み合わせ、一要素認証や二段階認証よりもさらに高いセキュリティを図ります。所有認証に使用するデバイスにコストがかかる面がありますが、スマートフォンのアプリを利用した認証方法利用すると安価に取り入れられるため、一概にコストがかかるともいえません。ただし、いくら二要素認証を取り入れてもセキュリティの意識が低いことで不正アクセスを許してしまう場合も多くあります。強いパスワードの設定やトークンや乱数表の管理を徹底することを含め、普段からしっかりとセキュリティを意識しましょう。また、導入のポイントとして現在取り入れている認証方法と別の要素を取り入れることと、利用者の利便性を考えた認証方法にすることで安全にサービスを使ってもらう可能性が高くなります。
