Webサービスやアプリケーション使用時には、ユーザーは自身のアカウントにログインします。このログインの認証方法としては、IDとパスワードを入力する方法を用いている方が多いでしょう。

しかし、その認証方法では、セキュリティは十分とは言えません。なぜなら、パスワードは第三者に突破されてしまう可能性があるためです。

そこで、注目されているのが、二段階認証。パスワードに加え、もう一段階の認証を経てログインを行う二段階認証は、パスワードだけでの認証よりもセキュリティに優れた認証方法として、各方面で採用されています。

今回は、この二段階認証について詳しく解説していきます。

二段階認証とは

二段階認証とは、名前の通り二段階で行う認証方法のことです。

例えば、アプリケーションやWebサービスのアカウントログイン時に、IDとパスワードを入力して認証した後、SMSに届いたコードを入力して、再度認証を行ったことはないでしょうか。これが、二段階認証です。

二段階認証の方法にはいくつかの種類がありますが、大きくは次の2種類に分けることができます。

①IDとパスワードを2回連続で入力する方法
②IDとパスワード入力後、さらに他の方法での認証を行う方法

つまり、「同じ方法を利用して二段階の認証を行う場合」と「異なる方法を利用して二段階の認証を行う場合」があるのですね。
先ほど例として挙げたSMSのコードの場合は、「IDとパスワード」に加え「SMSコード」を利用しているため、②に当てはまります。

二段階認証は、一段階の認証よりもセキュリティに優れた認証方法であるため、近年採用が進んでいます。

二段階認証と二要素認証の違い

認証方法には、二段階認証の他にも二要素認証というものがあります。
これらは混同されやすいですが、異なる認証方法です。その違いを見ていきましょう。

二要素認証とは

二要素認証がどのような認証方法か知るためには、まず次に挙げる「認証にあたっての3つの要素」について知っておく必要があります。

●認証にあたっての3つの要素
①生体要素・・・ユーザー本人の身体的特徴(指紋、静脈、顔等)
②知識要素・・・ユーザー本人だけが知っている情報(パスワード、秘密の質問等)
③所持要素・・・ユーザー本人が所持しているモノ(スマートフォン、ICカード、ハードウェアトークン等)

上記3つの要素は、それぞれアカウントログイン時に活用される情報です。

二要素認証とは、これらの3つの要素のうち、異なる2種類の要素を用いて行う認証方法のこと。
例えば、パスワードを用いた認証(知識要素)の後に指紋認証(生体要素)を行うケースなどが、二要素認証にあたります。

二段階認証と二要素認証の違いは要素の制限

二段階認証と二要素認証は、次の点で異なります。

二段階認証・・・二段階の過程を経て行う認証(要素は同じでも可)
二要素認証・・・異なる2種類の要素を用いた認証

パスワード(知識要素)を2回入力したり、パスワード入力後秘密の質問(知識要素)に答えたりする方法があるように、二段階認証では二段階の認証さえ行えば、認証に用いる要素は同一でも構いません
一方の二要素認証も二段階で認証を行う点では同じですが、その認証には異なる2種類の要素を用いる必要があります
この点が、二段階認証と二要素認証の違いです。

二段階認証が必要な理由

二段階認証の必要性が高まっている理由は、セキュリティリスクの増大にあります。

近年、辞書攻撃やフィッシング詐欺などさまざまな方法で、悪意のある第三者がパスワードを狙うようになりました。実際にパスワードを突破されてしまい、第三者の社内システムへの不正アクセスを許した結果、重要情報漏洩の被害に遭った企業は少なくありません。
パスワードは脆弱性が比較的高く、パスワードによる認証だけでは十分な安全性を確保することができないのです。

そこで、セキュリティを高めるために採用されたのが、二段階認証。二段階で認証を行うことで、リスクに対するセキュリティ機能は向上されます

二段階認証によりログインのセキュリティを向上させることは、ただ情報を守るだけでなく、企業の社会的信用を維持したり業務を円滑に継続させたりすることにも繋がります。

二段階認証の種類

二段階認証に使用される認証の種類は複数あります。
代表的なものを見てみましょう。

・SMSによるコード
・トークンによるワンタイムパスワード
・通話、メールによるコード
・アプリによるコード
・登録済みのUSB差し込み 等

中でも一般的なのは、SMSに送られてくるコードを入力する方法でしょう。ただしこの方法では、偽の認証メールがSMSが送られてくることによる詐欺被害も見られます。
セキュリティレベルが比較的高いのはトークンによるワンタイムパスワードで、企業等でよく用いられています。

二段階認証の導入メリット

二段階認証の導入メリットは、先ほどもご紹介したように、セキュリティを向上させることができる点にあります。
このメリットを、より具体的に見ていきましょう。

なりすまし防止

なりすましとは、何らかの方法でIDとパスワードを取得した第三者が、ユーザー本人のフリをしてアプリケーションやWebサービスにログインすること。これは、システム内で扱う機密情報や個人情報の流出に繋がります。

二段階認証では、IDとパスワードによる認証に、さらにもう一段階認証を加えるため、IDとパスワードを手に入れた第三者がログインしにくい状況を作ることができます
IDとパスワードを2回入力する二段階認証も、でたらめなパスワード入力による不正ログインには効果がありますが、二段階目の認証はIDとパスワード以外の手段で行う方が安心でしょう。

パスワード認証の脆弱性をカバー

パスワード管理は面倒なもの。適切に管理し続けるのは難しく、パスワードを使いまわしたり簡単な文字列に設定したりする人は一定数います。
このような場合、パスワードは突破されやすくなりますが、二段階認証ではその脆弱性をカバーすることが可能。パスワードがわかっても、次の認証を突破できなければ、システムにログインすることはできません。

二段階認証の注意点

二段階認証を利用する場合には、次の2点に注意しておく必要があります。

デバイス紛失・機種変更に注意

二段階認証で、パスワード入力後にSMSコードやワンタイムパスワードの入力を行う場合、指定のデバイス(スマートフォン、トークン等)が手元になくてはなりません。デバイスを紛失してしまったり機種変更してしまったりすると、復旧までに時間を要し、その間システムへのログインができなくなる恐れがあります。

ウイルスやフィッシング詐欺対策にはならない

二段階認証は、なりすましによる不正アクセスには有効ですが、ウイルスやフィッシング詐欺には万全とは言えません。
フィッシング詐欺の場合、偽のログイン画面でユーザー自身が認証を行うため、その認証が二段階であろうとリスクは変わらないのです。このようなリスクに対しては、情報リテラシーを高め、騙されないよう細心の注意を払う必要があります。

二段階認証のセキュリティレベルを向上させる方法

二段階認証を採用したからといって、安心はできません。さまざまな方法で、悪意のある第三者は、二段階認証を突破する方法を模索しています。
そこで大切なのは、二段階認証のセキュリティレベルを上げておくこと。二段階認証のセキュリティレベルを向上させるには、「認証方法を精査する」、または「従業員教育を徹底し情報リテラシーを高める」方法が効果的です。
詳しく見ていきましょう。

認証方法を精査する

二段階認証は、どの認証方法を用いるかによってセキュリティレベルが変わります。
例えば、2回IDとパスワードを入力する方法に比べれば、SMSコードを入力する方法の方がセキュリティレベルは高いと考えられます。

認証方法には、今回ご紹介したSMSコードやトークンのワンタイムパスワード以外にも、生体認証や物理デバイスを利用できるものも存在します。二段階認証導入においては、自社に合ったセキュリティレベルの高い認証方法を採用するようにしましょう。

従業員教育を徹底し情報リテラシーを高める

二段階認証を採用していても、従業員が騙されてしまったりデバイスやパスワードの管理を疎かにしたりしていては、セキュリティリスクを防ぐことはできません。セキュリティレベルを向上させるには、従業員の情報リテラシーを高め、ひとりひとりがセキュリティに対する知識を持つことが大切です。
そのためには、従業員に対する社内教育が必須。定期的な情報教育と注意喚起で、セキュリティに対する意識改革を行いましょう。

まとめ

二段階認証は、アカウントログインのセキュリティを向上させる手段のひとつです。
IDとパスワードによる一段階での認証は、近年の巧妙化するセキュリティリスクの脅威において、安全性が高いとは言えません。重要な情報を扱う企業は、自社の信頼性と業務の継続性を守るためにも、よりセキュリティレベルの高いログインシステムを実装する必要があります。

二段階認証にこだわらず、二要素認証も検討し、アカウントログインに対する安全性を今一度見直すようにしてください。