二段階認証とは?仕組みや二要素認証・多要素認証との違いについて
ユーザーがログインを必要とするWebサイトやアプリで、「二段階認証」を導入するケースが増えています。二段階認証を取り入れることにはどのような目的があり、導入におけるメリットは何なのでしょうか。
この記事では、二段階認証の仕組みや導入の目的、他の認証方式との違いなどをご紹介します。
目次
二段階認証とは
Webサイトやアプリでのログイン時、ID・パスワードの入力以外に、秘密の質問などの確認事項を尋ねられたり、操作を求められたりすることがあります。このように、ログインに複数回の確認や操作を設けている認証方式を「二段階認証」と呼びます。
ここでは、二段階認証の仕組みや増加の背景などをご紹介します。
二段階認証の仕組み
ログイン時の認証に2つの段階を経るものが二段階認証です。
たとえば、第一段階目はID・パスワードで認証を行い、第二段階目は秘密の質問などで再度認証を行ってログインを完了するといった認証方法です。
近年では、数字4桁などのコードがメールやSMSで送られ、それを確認して入力することで二段階目の認証を行うケースも多くなっています。
二段階認証の種類
二段階認証に用いられる認証には、さまざまな種類のものがあります。ここでは、二段階認証の種類についてもご紹介します。
SMS
携帯電話やスマートフォンの番号宛にSMS(ショートメッセージサービス)が送信され、その情報から認証コードを取得し、コードを入力して認証を行う方法です。
音声通話
電話で自動音声によって認証コードが伝えられ、それを入力して認証を行う方法です。
Eメール
Eメールのアドレス宛に認証コードが送られてきて、それを入力することにより二回目の認証を行う方法です。
アプリ
専用の二段階認証アプリを使って、二段階認証を行う方法です。
物理デバイス
USBメモリ型の小型デバイスを端末のUSBポートに差し込んで認証を行う方法で、そのデバイスを持っていなければログインできません。
トークン
「セキュリティトークン」という電子機器にワンタイムパスワード(時間を限定して1度だけ使用できるパスワード)を表示させる方法です。この方法も、セキュリティトークンを持っている人でなければログインできません。
二段階認証が求められる背景
スマートフォンの普及によって、ネットショッピングやSNS、メールといったWebサービスだけでなく、入金から決済までをWeb上で行うことのできる決済サービスも拡大しつつあります。一方で悪意ある第三者が他のユーザーのIDやパスワードを特定して、なりすましによるログインを試みる「不正ログイン」の手口が年々増えています。以前にも増して私たちの生活にWebサービスやアプリが浸透しているということはそれだけ情報が流出するリスクが増えているといえるでしょう。
近年では、何万通りもの文字配列が存在する複雑なパスワードですら、特定されてしまう事が珍しくありません。また、被害が増加している背景にはフィッシング詐欺などの手口の高度化・巧妙化が指摘されており、さらなるセキュリティ強化が求められていることが分かります。
このように、生活におけるアプリやWebサービスの利用増加にともない、IDとパスワードの認証のみでは、安全とはいえないため、対策として二段階認証などが主流となりつつあるのです。
二要素認証・多要素認証との違い
二段階認証によく似たセキュリティ用語に「二要素認証」、「多要素認証」があります。これらもログイン時の認証に関する名称ですが、二段階認証とはそれぞれの意味合いが少し異なっています。ここでは、それらと二段階認証との違いについても見ていきましょう。
二要素認証・多要素認証とは
ID・パスワードによる認証に加え、指紋をはじめとする生体認証など、まったく異なる要素の認証を複数組み合わせた認証を指します。
認証の要素には、ユーザーしか分からない言葉などの「知識要素」、所持する端末情報などユーザーしか持たない「所有要素」、そしてユーザー特有の身体特徴などの「生体要素」の3つがあります。
これに対し、二段階認証とは認証方法や認証要素の種類に関わらず、2回の認証を行ってログインすることを指します。
以下は、二段階認証が二要素認証・多要素認証とどのように異なるかを表にまとめたものです。
認証方法 | 認証 の段階 |
認証 要素数 |
|
---|---|---|---|
二段階認証 | 同一の方法であれ、異なる方法であれ、2回の認証を行うこと | 2段階 | いくつでも良い |
二要素認証 | 認証の三要素(知識要素、所有要素、生体要素)の中から、異なる2つの要素を組み合わせて行う認証 | 何段階でも良い | 2つ |
多要素認証 | ID・パスワードなどの知識要素、スマートフォン、ICカードなどの所有要素、指紋・静脈などの生体要素のうち2つ以上を組み合わせて行うこと | 何段階でも良い | 2つまたは3つ |
認証段階が2つであれば二段階認証、認証要素が2つであれば二要素認証と把握しておくと良いでしょう。多要素認証の場合、段階の数は問いませんが要素については2~3要素とされます。
二段階認証を導入するメリット・デメリット
二段階認証を取り入れることには大きなメリットがありますが、導入に際しては注意すべき点もあります。ここでは、二段階認証導入のメリット・デメリットについてご紹介します。
二段階認証を導入するメリット
大きなメリットとして、セキュリティの向上が挙げられます。二段階認証を行っていないと、万一IDとパスワードが漏れれば何者かによるなりすましのログインも容易にできてしまいます。しかし、認証を一段階増やすことでなりすましの被害を低減できます。
二段階認証を導入するデメリット
二段階認証を導入する上で考えられる第一のデメリットは、導入・運用コストです。二段階認証は、認証方法によって必要な費用が異なります。自社システムにとって適切な認証方法や予算を明確にしておきましょう。
二段階認証を導入することで、ユーザーにとっては認証のための操作に手間がかかるというデメリットが生じます。しかし、二度認証を実行する手間が発生しても、不正ログインの被害に遭うリスクを考えると二段階認証の重要性は高いと考えられます。これをデメリットと考えて回避するよりは、安全性への配慮を優先して導入に踏み切ることがおすすめでしょう。
ALSOKのサイバーセキュリティソリューションでセキュリティ対策をしよう
多くのWebサイトやアプリで二段階認証が導入されるなど、現在セキュリティ対策の重要性が再認識されつつあります。
しかし、サイバー攻撃は「なりすましによる不正ログイン」だけではありません。他の手口によるサイバー攻撃への対策も必要です。総合的なセキュリティ対策も必要です。セキュリティソフトの導入など、トータルでの対策も怠らずに行いましょう。
ALSOKでは、「サイバーセキュリティソリューション」をご提供しています。いつ発生するか予測できない情報漏洩などの事案に備え、警備会社としてのALSOKならではのノウハウで万一の事態を未然に防ぎます。セキュリティ対策の強化をご検討中の方は、ぜひALSOKまでお気軽にご相談ください。
ALSOKの関連商品
まとめ
二段階認証を取り入れることで、万一何者かにIDやパスワードを知られても、なりすましによる不正ログインを防げる可能性があります。しかし、情報漏洩のリスクはなりすましだけではないため、企業としては認証方式に限らない総合的なセキュリティ強化が必要でしょう。
二段階認証と多要素認証を組み合わせたセキュリティソリューションの導入、より強固な情報漏洩対策を検討してみてはいかがでしょうか。