二段階認証のなかでも二要素認証はセキュリティが強い

二段階認証の中でも、二要素認証を取り入れることでセキュリティを高められます。

二要素認証は、例えば「パスワード」と「SMS認証」と言ったように、2つの異なる要素を用いてログインを試みます。

そのため、たとえパスワードが漏えいした場合でも、SMS認証が通らないため不正ログインを予防できます。

対して、二段階認証はログイン時に入力したパスワードをログイン後にもう一度入力しても成立します。

同じパスワードを用いた二段階認証の場合、パスワードが何らかの理由で漏えいすると悪意のある第三者に簡単にログインされてしまうリスクがあります。

そのため、二段階認証の中でも、二要素認証はセキュリティが高い認証と言えるのです。

そもそも認証とは？

インターネット上では、「認証」は「本人確認」とも捉えられ、ログイン時に本人であるかどうか確認することを言います。

サイトにログインする際にIDとパスワードを求められるのは、本人のみ知っている要素であるという前提があるからです。

IDとパスワードを入力する認証方法以外にも、ICカードやSMS、指紋認証や顔認証などが認証方式として利用されるケースもあります。

参照元：認証の仕組みと必要性 〜総務省 国民のための情報セキュリティサイト〜

認証の要素は3種類ある

認証の要素は3種類あり、それぞれに違いがあります。

1. 知識要素
2. 所有要素
3. 整体要素

3つの要素の内2つ以上を組み合わせることによって、セキュリティを高めることが可能です。

3つの要素がどのようなものなのか、詳しく見ていきましょう。

（１）知識要素

IDやパスワードおよび秘密の質問など、「本人のみが知っている」要素が知識要素です。

知識要素には以下のようなものが挙げられます。

• ID
• パスワード
• 暗証番号
• PINコード
• 秘密の質問など

知識要素はサイトへのログイン時などによく使われていますが、次のような問題があります。

• 覚えられる数に限界があり、同じものを複数のサイトで使い回す
• 生年月日や住所など、誰でも簡単に推測できる単語を使用する
• パスワードなどをメモに残したことにより、漏えいのリスクが高まる

そのため、他の要素と組み合わせてセキュリティを高める必要性が出てくるのです。

（２）所有要素

スマホによるSMSやアプリ認証・トークンなど、「本人のみが持っている」要素が所有要素です。

所有要素には以下のようなものが挙げられます。

• スマホによるSMSやアプリ認証
• ICカード
• トークンなど

近年よく使われているのが、スマホによる二要素認証（SMSおよびアプリ認証）です。

スマホを用いた二要素認証の場合、通信環境がない場所では認証が使えない、スマホの紛失や盗難があった場合に悪用されるなどのリスクがあります。

（３）生体要素

指紋認証および顔認証など、本人の身体特徴を用いた要素が生体要素です。

生体要素には以下のようなものが挙げられます。

• 指紋認証
• 顔認証
• 虹彩認証
• パターン認証（本人の行動パターンによる認証）

生体要素を用いた認証は、スマホのロック解除などでも用いられるようになりました。

しかし、本人であるにもかかわらず認証ができない「本人拒否」、他人であるにもかかわらず認証される「他人受入」が、低い確率ではありますが発生します。

生体要素を用いた認証も、完全ではないことを理解しておきましょう。

二段階認証と二要素認証の違い

「二段階認証」と「二要素認証」という言葉はよく耳にしますが、似たような言葉でもあるため、どのような違いがあるのかわかりにくいものです。

そこで、2つの認証の違いについてまとめました。

二段階認証と二要素認証の違いを理解して、セキュリティを高めたい方はぜひご覧ください。

（１）二段階認証とは

IDとパスワードを用いてサイトにログインした後に、もう一度ログインを求められる方法が二段階認証です。

二段階認証には主に2つの方法があります。

• サイトにログインしたときの情報（ID・パスワード）を再度入力する方法
• サイトにログインした後に、別の情報（秘密の質問など）を入力する方法

同じ情報を2回以上使用した方法も、別の情報を使用した方法も二段階認証になります。

ID＋パスワードによる認証方法は、以前より流出やブルートフォース攻撃（パスワードとして考えられるすべてのパターンを試してパスワードを解読しようとする攻撃）などのリスクが指摘されていました。

同じ情報を使用した二段階認証は、覚える情報は少なくてすみますが、セキュリティの強度は下がるので注意が必要です。

セキュリティをより高めるためには、次に説明する二要素認証を用いると良いでしょう。

（２）二要素認証とは

「ID・パスワード＋SMS」や「社員番号＋指紋」など、異なる2つ以上の要素を用いて認証を試みる方法を二要素認証と言います。

二要素認証は、1つ目の認証が悪意のある第三者に破られたとしても、異なる要素でのログインを求められるので、二段階認証の中でも不正アクセスの防止に有効です。

二要素認証に使われる要素は以下の3つです。

• 知識（知っている：IDやパスワード、暗証番号など）
• 所有（持っている：ICカードやトークン、SMSやアプリ認証）
• 生体認証（身体的特徴：指紋・静脈・虹彩など）

二要素認証は、認証に必要な要素（トークンやICカード・スマホなど）が手元にないときにはログインができないなど、利便性においては二段階認証よりも下がります。

また、二要素認証を用いても、スマホを紛失した場合には不正アクセスのリスクがあるなど、完全なものでないことを理解しておくべきでしょう。

二要素認証に該当するもの・具体例

二要素認証に該当する具体例を3つ紹介します。

1. 【知識＋所有】ID・パスワード＋SMS
2. 【知識＋所有】ID・パスワード＋トークン
3. 【知識＋生体】社員番号＋指紋

二要素認証の方式はさまざまですが、よく使われるのがこちらの方法です。

覚えておくと、二要素認証を求められたときでも落ち着いて対応できるのではないでしょうか。

（１）【知識＋所有】ID・パスワード＋SMS

二要素認証として多く使われているのが、ログイン画面でIDとパスワードを入力後、登録された携帯電話番号にSMSでワンタイムパスワードが送られてくる認証方法です。

送られてきたワンタイムパスワードを指定された箇所に入力することで、本人として認証されます。

SMSに送られてくるワンタイムパスワードには有効期限（時間）があります。

本人しか知らないはずのID・パスワードと、本人しか所有していないはずのスマホでのSMS認証が組み合わさり、セキュリティが強化される認証方法です。

（２）【知識＋所有】ID・パスワード＋トークン

「知識＋所有」の認証として、トークンに表示されたワンタイムパスワードを用いる方法もあります。

トークンとは、サービス提供者より配布される、ワンタイムパスワードが常に表示されているキーホルダーほどの大きさのデバイスです。

サイトにログインするときに、IDとパスワードを入力しログインした後、指定された画面にトークンに表示されているワンタイムパスワードを入力します。

送られたパスワードとサーバーで管理しているパスワードが適合すると、本人として認められ、サイト内のサービスが受けられるようになります。

物理的なデバイスであるトークンは、紛失や盗難のリスクがある点には注意が必要です。

ID・パスワードによる本人確認と、配布されたデバイスを所有していることによる本人確認で、セキュリティを強化する例となっています。

（３）【知識＋生体】社員番号＋指紋

社員番号と本人の指紋という「知識＋生体」の組み合わせは、勤怠管理システムなどでよく見られる認証方法です。

社員番号は、誰でも知りうる情報です。そのため、社員番号だけで本人と特定するのは非常に難しくあります。

そのため、社員番号に本人の身体的特徴である指紋を組み合わせれば、本人であることが特定でき、正しく出勤や退勤などのデータを登録できます。

本人しか知り得ないとは言えない「社員番号」という要素と、本人の指紋を使ってより精度の高い本人確認を実現する方法です。

二要素認証のメリット

二要素認証を用いると、本人確認をより厳密に行うことにより、なりすましの防止に繋がります。

また、IDやパスワードが流出した場合でも、2つ目の要素により不正アクセスを防止できるようになります。

セキュリティの強化に二要素認証は有効な手段です。

悪意のある第三者から情報を守るためにも、二要素認証はできるだけ利用するようにしましょう。

二要素認証のデメリット

セキュリティの強化ができる二要素認証ですが、サービスによっては利用できない場合があります。

二要素認証を利用したい場合は、設定できるか事前に確認しましょう。

また、二要素認証はそれぞれのサイトで認証しなければならないため、複数のサイトを利用したい場合はログインのための手間が増えます。

二要素認証の方法は各サイトで違うので、それぞれ設定が必要です。

どのような要素を用いて二要素認証を設定したか、忘れないように注意しましょう。

二要素認証をさらに強化する3つのポイント

二要素認証を更に強化するポイントを3つ紹介します。

1. 各サービスで安全なパスワードを設定する
2. 所有認証に使うデバイスを厳重に管理する
3. SSO＋二要素認証を取り入れる

二要素認証を設定した上で下記3つも徹底すれば、セキュリティはより強固なものとなります。

（１）各サービスで安全なパスワードを設定する

多要素認証は過信せずに、安全なパスワードを設定するようにしましょう。

多要素認証を用いてセキュリティ強化を図ったとしても、不正アクセスされる可能性はあります。

安全なパスワードにするには、「使い回しをしない」「誰でもわかるような単語を使わない」「適度な長さで設定する」ことが重要です。

現在使用しているパスワードが安全なものかもう一度確認し、使い回しなどをしていたらすぐに別のパスワードに変更しましょう。

（２）所有認証に使うデバイスを厳重に管理する

多要素認証はセキュリティの強化ができますが、所有認証に用いるデバイスが紛失や盗難の被害に遭うと、一気にセキュリティ強度は下がってしまいます。

デバイスの紛失に気づいたときには、すぐに所有認証を停止しなければなりません。

スマホやトークンなどのデバイスの管理には十分に注意するようにしましょう。

（３）SSO＋二要素認証を取り入れる

複数のサービスを1つのアカウントに紐付けて、一度のログインで各サービスを利用できるSSOと二要素認証を取り入れると、利便性とセキュリティの向上が可能です。

SSO＋二要素認証の組み合わせは、セキュリティを強化しつつ二要素認証のデメリットである「ログインの手間」を解消するおすすめの方法です。

効率よく各サービスを利用したい方は、ぜひ、SSO＋二要素認証を取り入れてみてください。

まとめ

サービスを利用するために2回以上認証を行うのが二段階認証です。

そして二要素認証は、二段階認証の中でも2つ以上の異なる要素を用いて認証を行うことを指します。

IDやパスワードが流出しても2回目の認証で異なる要素が求められるので、不正アクセスを防ぐためには二段階認証よりも二要素認証の方が適しています。

二要素認証はセキュリティを高められますが、それぞれのサイトへのログインの手間が増えるというデメリットが発生します。

二要素認証のデメリットを解消するためには、SSO（シングルサインオン）を利用すると、一度のアクセスで複数のサービスが利用できるようになります。

作業効率化を図りたい方は、SSOの特性を十分に理解した上で導入を検討してみるのはいかがでしょうか。