二要素認証(2FA)とは?セキュリティ向上のポイント5つ

Image

二要素認証とは何かという概要から具体的な二要素認証の事例、そして二要素認証をセキュリティ向上に役立てるためのポイントを解説します。


二要素認証という言葉をよく聞くようになったものの、よく分からないとお感じですか?また、二要素認証が導入されると何が違うのか知りたいとお考えですか?

近年、なりすましや不正ログインを防ぐため、二要素認証の導入が進んでいます。セキュリティ強化のために有効である一方で、これまでよりも認証方法が複雑になっていることに戸惑いを感じる方もいらっしゃると思います。

そこで、二要素認証とは何かという概要から具体的な二要素認証の事例、そして二要素認証をセキュリティ向上に役立てるためのポイントを解説します。

1.主流になりつつある二要素認証

1-1.二要素認証とは

二要素認証 (2FA : 2 Factor Authenticationの頭文字による略)とは、これまで1つの要素だけで認証していたものを2つの要素にすることでセキュリティの強化を図る手法のことです。IDとパスワードによる認証が一般的でしたが、これは「ID+パスワード」という1つの要素による認証です。

それに対して二要素認証は、以下の3つある要素から2つが揃っていないと認証が通らない仕組みのことを言います。

  • 本人だけが知っていること
  • 本人だけが所有しているもの
  • 本人自身の特性

先ほどの「ID+パスワード」は、本人だけが知っていることを認証に使用しているので、一要素であることが分かります。

実は、すでに私たちは二要素認証をかなり前から利用しています。その代表的な例が、銀行のATMです。キャッシュカードは本人だけが所有しているもので、暗証番号は本人だけが知っていることです。この二要素が揃わないとお金を引き出すことはできないので、二要素認証です。

1-2.二要素認証の導入が進んでいる理由

二要素認証の導入が進められている理由は、セキュリティの強化です。先ほどの銀行ATMはその典型で、これがもし「口座番号+暗証番号」だけで引き出せるようになってしまうと、キャッシュカードを持っていない何者かが不正にお金を引き出す可能性が高まるでしょう。キャッシュカードを持っているだけでも、暗証番号を知っているだけでも、いずれの場合もお金を引き出せないのが二要素認証のポイントです。

しかし、同じ銀行サービスであってもネットバンキングは事情が異なります。口座番号と暗証番号だけでログインできるようだとATMよりセキュリティが脆弱になります。そこでトークンや乱数表などが導入され、一要素だけではログインできないようになっているわけです。

1-3.主な認証方式のメリットとデメリット

1-3-1.パスワード

パスワードによる認証はとても広く普及しています。ネットサービスがその代表例で、多くのサービスにログインする際にパスワードを利用されていることと思います。

パスワードによる認証は手軽で、頭の中に暗記しておくだけでいつでもどこでも認証を通すことができるのがメリットです。

その一方でデメリットは、やはりセキュリティ面で脆弱であることです。パスワードを第三者に知られてしまうと認証していないのと同じで、手軽な分だけ破られるリスクも高くなります。また、覚えやすいからという理由から複数のサービスで同じパスワードを使っている人は多いと思いますが、この場合は1つのパスワードが破られてしまうと一斉に同じパスワードを使用している他のサービスも危険に晒されます。

1つのパスワードを複数の認証に試す総当たり攻撃も存在するため、金銭に関わるサービスなど高いセキュリティが求められるサービスの場合はパスワードだけだと不十分であると言えるでしょう。

1-3-2.トークン、乱数表

ネットバンキングなどでよく用いられているのが、トークンや乱数表による認証です。3つある認証要素の中では「本人だけが所有しているもの」に属します。これらの認証方法はIDとパスワードという「本人だけが知っていること」に加えて補助的に用いられることが多く、ネットバンキングでは振り込みなどお金を引き出す操作時にトークンのワンタイムパスワードや乱数表の数値の入力を求めるなどの方法でセキュリティ強化が図られています。

左はジャパンネット銀行が導入しているトークンで、振り込み時にはここに表示されているワンタイムパスワードが必要です。右は三菱東京UFJ銀行で導入されていた乱数表で、こちらも振り込み時に指定の座標にある数値を入力してそれが合致しないと振り込み操作ができない仕組みになっていました(現在はスマートフォンアプリを使用したワンタイムパスワードになっています)。

これら「本人だけが所有しているもの」による認証は、それを持っていない人でないと認証が通らないのでセキュリティ強化に役立ちますが、万が一それを紛失したり盗難に遭った場合は本人であっても不正ログインと見なされるため不利益を被ることになるのがデメリットです。

1-3-3.生体認証

本人自身の特性として近年認証方法への採用が進んでいるのが、生体認証です。指紋や虹彩、顔認証はその代表格で、いずれも本人だけが持っている生体としての特性です。なお、虹彩とは眼球の中にある膜で、人それぞれ違ったパターンを持っているため本人の特定に役立てられています。

生体認証のメリットは、その人自身がキャッシュカードや鍵の役割を果たすため「本人だけが所有しているもの」による認証よりも手軽であることです。キャッシュカードや鍵だと、たとえ本人であっても持っていなければ認証を通すことができませんが、生体認証の場合は紛失の心配がありません。

その一方で生体認証は不正ログインの可能性がわずかですが残されています。例えば、指紋認証でロック解除をする携帯電話が、本人の寝ている間に指紋を読み取られると解除できてしまう可能性があります。

1-4.異なるアプローチの認証方式を組み合わせる

先述のように、3つある認証要素のそれぞれにメリットとデメリットがあり一長一短であることがお分かりいただけたと思います。それぞれの要素1つだけに依存するのはリスクがあるということで導入されているのが、二要素認証なのです。

本人だけが知っていること、所有しているもの、そして本人だけの特性という全く異なるアプローチからの認証を組み合わせることでセキュリティを補強することができます。

2.二要素認証の主な導入事例

2-1.トークンによるワンタイムパスワード

トークンとは認証の際に用いる物理的デバイスという意味合いで用いられている名称で、正式には「セキュリティトークン」といいます。IDとパスワードによる「本人だけが知っていること」に加えて、トークンという物理的デバイスである「本人だけが所有しているもの」を認証に使うことで、セキュリティの向上が図られています。

ジャパンネット銀行では口座開設者にトークンを配布し、振り込みの操作をする場合にはトークンに表示されている6桁の数列を入力してそれが合致しなければ振り込みを完了できない仕組みになっています。

 

2-2.スマートフォンアプリによるワンタイムパスワード

上記のジャパンネット銀行はトークンを配布する形でワンタイムパスワードを発行していますが、それと同じことをスマートフォンアプリで行っている場合もあります。

三菱東京UFJ銀行はワンタイムパスワードを発行できるアプリを配布し、振り込み操作の際にはそこに表示されているワンタイムパスワードの入力が求められます。

 

2-3.乱数表

乱数表とは、法則性のない文字列が一覧表のように記載された表のことです。主にネットバンキングなどに採用されており、振り込み操作をする際に乱数表の指定位置にある文字列を入力することで「本人だけが所有しているもの」の認証要素を加えることができます。

新生銀行はネットバンキングにログインする際に乱数表の文字列入力が必要で、これが合致しなければ振り込みはおろかログインすらできない仕組みになっています。

この認証で必要になるのは、支店番号、暗証番号、ネットバンキングのパスワードです。「本人だけが知っていること」で認証した上で、

次に乱数表の文字列入力を求められるので、「本人だけが所有しているもの」がなければログインできません。

2-4.二段階認証

二要素認証と似た言葉で、「二段階認証」があります。言葉はよく似ているのですが、意味には微妙な違いがあります。二要素認証とは3つある認証要素の中から2つを認証に用いるというもので、二段階認証は認証を2回に分けることでセキュリティ強化を図ったものを指します。

ネットバンキングや各種クラウドサービスなどを利用している際に、これまで利用したことがないデバイスからログインを試みるとIDとパスワードだけでは認証できず、あらかじめ登録しているメールアドレスに認証メールが届き、そこにあるリンクにアクセスすることで認証されるというパターンがありますが、これは二段階認証の一種です。

ネットバンキングの中では、楽天銀行がこの方式を採用しています。ネットバンキングへのログイン時、定期的にあらかじめ登録してある個人情報に関する質問が出され、そこへの回答が正しくなければログインできない仕組みです。

出身中学校の名前は「本人だけが知っていること」です。通常のログインに使用する情報も口座番号とパスワードなので、同じく「本人だけが知っていること」なので、二要素ではなく一要素です。しかし認証を2回に分けているので、二段階認証です。

このように二段階認証と二要素認証は意味合いが異なりますが、単一の認証よりもセキュリティを強化している点では共通しています。

しかし、この質問内容の答(学校の名前やペットの名前など)をソーシャルメディアなどで公開していると「本人だけが知っている」ことでは無くなるため注意が必要です。

2-5.ホテルのセキュリティボックス

IT分野以外にも、二要素認証は多く存在します。ホテルに設置されている貴重品保管用のセキュリティボックスの中には、鍵とパスワードを必要とするものがあります。

この場合、鍵は宿泊客だけが所有しているもの、パスワードは宿泊客だけが知っていることなので、二要素認証です。ホテルの従業員が仮に合鍵で開けようとしても宿泊客が自分で設定したパスワードを知り得ないので、貴重品は守られます。

3.二要素認証でセキュリティ向上を図るための5大ポイント

3-1.利用しているサービスの認証方式を見直す

二要素認証の導入が進んでいるのは、従来の認証方式よりもセキュリティ強化に有効だからです。お使いのネットサービスで二要素認証が導入された場合は、出来るだけ早くその方式に切り替えることをおすすめします。

どうしても面倒に感じるため先送りにする人も多いのですが、サービス提供側が二要素認証を導入するということは、セキュリティ上のリスクを感じたための措置であると考えて良いでしょう。
ネットバンキング、クラウドサービス、そしてSNSなど、日常的に利用するサービスで二要素認証が導入されていないかチェックしてみましょう。

3-2.トークン、乱数表などの管理を徹底する

「本人だけが所有しているもの」としてトークンや乱数表が提供されているわけですが、これを紛失したり盗難に遭うということは自宅の鍵を失くすのと同じです。二要素認証の意味がなくなってしまうので、こうした物理的な認証デバイスの取り扱いには注意してください。

乱数表はそれ自体の取り扱いにも注意が必要ですが、どこでも利用できるようにと写真に撮ってハードディスクに保存したり、クラウドサービスに保存したりするのも危険性を高めるのでおすすめできません。

3-3.生体情報が盗まれるリスクを考慮する

生体情報は本人特有のものですが、それと同時に隠すことや本人と切り離すことができないものであるという一面にも留意する必要があります。
携帯電話の指紋認証を寝ている間に解除されてしまう可能性について述べましたが、他にも「写真に写っているピースサインから指紋がスキャンされる」という危険性が指摘されたのも記憶に新しいところです。

生体認証によるセキュリティは、必ずしも万能ではありません。生体情報を盗まれるリスクを知っておくことで生体認証に依存し過ぎたり、生体情報を盗まれないようにする意識を持ちましょう。

3-4.二要素認証を面倒だと思わない

単一の認証方式と違い、二要素認証は少なくとも2回以上の認証があります。自転車を盗まれないように警察は「ツーロック」を推奨していますがなかなか普及していないのは、多くの持ち主が鍵を2つ取り付けることに煩わしさを感じているからでしょう。セキュリティの向上と利便性の低下というのは利害が相反しているので、最終的には利用者の意識の問題になります。

特にネットバンキングやクラウドサービスなどは不正ログインされることのリスクがとても高いので、せっかくの二要素認証を面倒だとは思わず、その認証方式を採用している意図を汲んで金銭は情報を守る意識を持ってください。

3-5.二要素認証を過信しない

セキュリティ全般に言えることとして、「〇〇だから完璧」「〇〇をしているから大丈夫」という意識が、実は最大のリスクです。二要素認証は従来の認証よりも飛躍的にセキュリティを向上させることができますが、だからと言って完璧というわけではありません。

しかも、利用者の意識によって二要素認証が持つセキュリティを低くしてしまうことになるので、「どんな戸締りにも完璧はない」という意識を持っておきたいものです。

4.まとめ

ここまで、二要素認証が持つ意味や実際に運用されている事例を解説してきました。これまでは単に「面倒になった」と感じていた二要素認証が、セキュリティ向上に役立っていることを感じていただけたのではないでしょうか。

セキュリティの基本は、利用する人の意識です。せっかく導入が進んでいる二要素認証をしっかりと理解して導入し、大切な財産や情報を守るのにお役立てください。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

ノートンのロゴ
  • Norton
ノートンは、世界中の人々や家族がデジタル ライフでより安全に感じられるように支援します

編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。

Contents

    その他の情報

    ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。