• こんにちは!

    真夏、灼熱、猛暑…という日々が続いておりますが、いかがお過ごしでしょうか?

    せめて体温は超えない程度で抑えて欲しい…と願うばかりです。

昨今、様々な情報漏洩やセキュリティ事故のニュースをよく耳にします。

特に「なりすまし」や「アカウントの乗っ取り」といった不正ログインが昔以上に身近な現象として発生するようになってきたように感じています。

特にIDとパスワードについてはどんなものも「絶対に流出していない」「特定されない」と言い切るのは難しいのが昨今の現状です。

そんな中で普及しつつある、多要素認証と呼ばれる仕組みについて今回はご説明します。

認証要素

そもそも、認証の要素には3つの種類が定義されています。 

  • ①知識要素

    「認証のための情報を知っていること」によって認証します。旧来のID&パスワードや、カードの暗証番号、秘密の質問、PINコードなどを指します。
    流出しやすい、あるいは総当たり的に特定しやすいリスクがあります。

  • ②所持要素

    「認証のためのアイテムを持っていること」によって認証します。スマホへのSMS認証や、ワンタイムトークン、ICカードなどがあります。
    第3者によるハックは難しいですが、紛失リスクがあります。

  • ③生体要素

    「本人であること」によって認証します。指紋、虹彩、声紋や、最近のスマホに導入されている顔認証もこれになります。
    一番強固なセキュリティですが、認証のための設備が必要なのがネックです

多要素認証

多要素認証は、上記の①~③を2つ以上組み合わせた認証方式です。

たとえば、以下のような例があります。

「キャッシュカードを入れて暗証番号を入力する(②+①)」
「ID/パスワードでのログイン後に、スマホへSMSで送信された認証コードを入力する()」
「ICカードをかざしたあとに指紋認証が必要()」
「スマホの認証アプリでPIN発行+アプリ起動時の顔認証()」

こうして認証要素を増やすことで、たとえば「IDとパスワードが流出した」、「カードを紛失した」など1つだけの事故であれば、不正ログインを防ぐことができます。

2段階認証

多要素認証に似た言葉で2段階認証というものがあります。

こちらは定義としては、認証要素が重複していても良い、ということになっています。

たとえば、「ID/パスワードを入力後、秘密の質問へ答える」というのは昔からある2段階認証ですが、
こちらはどちらも知識要素の認証です。

そのため、これらの情報がまとめて流出してしまえば不正ログインができてしまいます。

単なるIDとパスワードよりは強固ですが、やはり上述の多要素認証よりはセキュリティ面で劣ります

まとめ

少し前まではウェブサービスで多要素認証を導入しようとするとSMSを送信するか、USBサイズのワンタイムトークン機を使う必要がありました。

しかし、最近ではスマートフォンでの認証アプリによって、スマートフォンによる所持要素と、スマートフォンの持つ生体要素の認証が比較的容易に利用できるようになってきています。

大手IT企業が認証アプリを提供していることもあり、金融系サービスやサーバーへのアクセスのようなインフラ系を筆頭に、多要素認証が導入済みになっているサービスがぐっと増えた印象です。

利用者としてはアクセスまでの手間が増えて面倒ではあるのですが、ID・パスワードのみに比べて圧倒的にセキュリティが高いため、今後も増えていくのではないかと思います。

  • 今回は多要素認証について簡単にご説明させていただきました

    個人の意識だけではどうにもならないセキュリティリスクに対して、このような対策も進められている、ということを知ってもらえれば幸いです。