オンラインサービスが普及し、企業でもさまざまなツール・サービスが利用されている昨今。オンラインサービスのセキュリティレベルの高さは、いまや企業のブランドイメージやコンプライアンスに直結する要素となっています。
オンラインサービスのセキュリティレベルを高めるには、認証方式の種類やその特徴を理解することが欠かせません。そこで本記事では、認証方式の種類とそれぞれの特徴、選定ポイントを詳しく解説します。
認証方式が多様化している背景
ECサイトや会員制サービス、アプリといったオンラインでの取引や手続きが一般化する中で、認証の重要性が年々高まっています。一方で、パスワードを盗み取ってログインを試みる不正アクセスや、本人になりすますフィッシング詐欺など、犯罪の手口も巧妙化してきています。
サービス提供者とユーザーの双方をリスクから守るためには、もはや従来のパスワード認証だけでは足りず、より強固なセキュリティ対策が求められるのが現状です。
しかしセキュリティレベルを高めるために登録やログインの認証ステップが増えれば、ユーザーが離脱してしまう懸念もあります。このような背景から、安全性と使いやすさを両立できる多様な認証方式が次々と登場してきました。
認証システムの導入を検討している企業は、ニーズやユーザー層に応じた認証方式を選ぶことが重要です。
認証方式の種類
認証方式は、認証に用いられる3つの要素(知識・所有・生体)に基づいて分けられます。それぞれの認証方式と特徴、具体的な認証方法について見ていきましょう。
知識要素に基づいた認証方式
知識要素とは、認証されたユーザーしか知ることのできない情報のことです。パスワードやPINコードなど、ユーザーの記憶に依存する認証方式が該当し、広く普及している認証要素と言えます。
具体的な認証方式は以下のとおりです。
|
認証方式 |
概要 |
特徴 |
|
パスワード認証 |
IDと文字列のパスワードを入力する方式 |
|
|
PINコード |
数字数桁のコードを入力する方式 |
|
|
秘密の質問 |
あらかじめ設定したQ&Aを入力する方式 |
|
|
パターン認証 |
点をなぞってパターン入力する方式 |
|
|
ニーモニック認証 |
事前に登録した画像を選択する方式 |
記憶しやすく推測されにくい |
|
マトリックス認証 |
表内の指定座標の内容を入力する方式 |
|
パスワード認証は、あらかじめ設定した文字列(IDやパスワード)を入力して本人確認を行う仕組みです。最も一般的な認証手段であり、社内システムへのログインや、クラウドサービスのアカウント認証などに幅広く利用されています。
運用が簡単で導入コストも低いですが、パスワードを使い回したり、短く単純な文字列を設定したりすると、不正アクセスの原因になりやすいです。そのため、セキュリティ面では注意が必要になります。
PINコード
PINコードは、4~8桁程度の数字で構成された短い認証コードによる認証方式のことです。スマートフォンのロック解除や、ATMでのキャッシュカード利用時などで広く使われています。
パスワードとは異なり、PINは入力した端末上で照合されるのが特徴です。端末に保存されたPINと実際に入力されたPINの照合により認証を行うため、PINを知っているだけでは不正利用できず、端末の所有が必要となります。つまりPIN認証は、記憶情報(数字)と所有情報(端末)を組み合わせた多要素認証として機能し、パスワード認証よりも強度を高めやすいです。
秘密の質問
秘密の質問は、「出身小学校の名前」や「初めて飼ったペットの名前」など、あらかじめ登録した質問と回答を照合して本人確認を行う方式です。主にパスワードを忘れた際の本人確認手段として用いられることが多く、設定が簡単で誰でも利用しやすい認証方法と言えます。
自由に回答を設定できる反面、自分でも答えを忘れてしまう可能性や、SNSなどから他人に推測されるリスクがある点には注意が必要です。
パターン認証
パターン認証は、スマートフォンやタブレットの画面上で、点と点をつなぐパターンをなぞって認証する方式です。
数字や文字列よりも直感的で入力が早く、視覚的に覚えやすいのが特徴です。ただし、画面に残った指の跡からパターンを読み取られるリスクもあるため、定期的な画面清掃や複雑なパターンの設定が推奨されます。
ニーモニック認証
ニーモニック認証は、ユーザーがあらかじめ複数の画像を登録しておき、認証時に正しい画像を選ぶことで本人確認を行います。文字や数字のパスワードとは異なり、視覚的な記憶に基づくため覚えやすく、ミスや入力忘れを防ぎやすいです。また、第三者が推測しづらい点もメリットです。
ただし導入コストがかかる点や認証フローの手間から、導入は限定的となっています。
マトリックス認証
マトリックス認証は、あらかじめ登録した表形式のデータから指定された座標の情報を入力することで本人確認を行います。ログイン時に「C3」や「A5」などのマスが指定され、その位置に記された内容を回答する仕組みです。ネットバンキングや一部の業務システムなどで採用されています。
動的に入力内容が変わるため、静的なパスワードよりもセキュリティ性が高いです。反面、マトリックス表自体の管理と視認性に注意が必要となります。
所有情報に基づいた認証方式
所有情報とは、ユーザーだけが所有しているものを活用した認証情報のことです。スマートフォンやICカード、専用デバイスなど、物理的な「持ち物」を使った認証が含まれます。
具体的な認証方式は以下のとおりです。
|
認証方式 |
概要 |
特徴 |
|
ワンタイムパスワード |
1回限り、または一定時間のみ有効な使い捨ての認証コードを用いる方式 |
|
|
ICカード認証 |
カードをかざして本人確認する方式 |
|
ワンタイムパスワード(OTP)は、1回限り、または一定時間のみ有効な使い捨ての認証コードを用いる方式です。パスワードを特定されるリスクが低く、セキュリティ性が高いため、ネットバンキングや業務システムへのログインなど、幅広いシーンで活用されています。
OTPの認証コードの受け取り方は、主に以下のとおりです。
|
受け取り方 |
内容 |
|---|---|
|
ソフトウェアトークン |
スマートフォンの認証アプリでコードを受け取る方法です。ユーザーの操作で確認でき、利便性に優れている点が特徴です。 |
|
ハードウェアトークン |
小型の物理デバイスでコードを表示する方法です。金融機関など高度なセキュリティが求められる場面で使われます。 |
|
SMS認証 |
認証コードをSMSで送信する方法です。操作が簡単で導入しやすい反面、SMSを傍受されるリスクがある点に注意が必要です。 |
|
メール認証 |
登録メールアドレスに認証コードを送る方式です。メールアドレスさえ保持していれば利用できるため、多くのオンラインサービスやアカウント登録時に利用されています。一方で、迷惑メールに分類されて届かないケースや、フリーメールアドレスの乗っ取り・なりすましといったセキュリティリスクがあるため、運用には一定の注意が必要です。 |
ICカード認証は、ICチップを内蔵したカードを使って本人確認を行う認証方式です。社員証や交通系ICカード、マイナンバーカードなどを使用します。オフィス内の物理的な入退室管理や社内端末のログインなど、ローカル環境での活用に加えて、近年ではマイナポータルなど公的Webサービスのログインにも活用されています。
カードリーダーにかざすだけで認証が完了するため操作が簡単で、利用者のITリテラシーに左右されにくい点がメリットです。ただしカードを紛失した場合には認証できないほか、第三者の手に渡った場合に不正利用のリスクがある点には注意してください。
生体情報に基づいた認証方式
生体情報とは、ユーザー本人の身体的特徴に基づいた情報のことです。指紋や顔、行動パターンなど、個人固有の特徴を利用します。
具体的な認証方式は以下のとおりです。
|
認証方式 |
概要 |
特徴 |
|
指紋認証 |
指紋のパターンを読み取る方式 |
|
|
顔認証 |
カメラで顔の特徴を分析する方式 |
|
|
行動認証 |
タイピングやマウス操作など、ユーザー特有の行動パターンを分析する方式 |
|
指紋認証
指紋認証は、指先の指紋パターンを読み取って本人確認を行う方式です。スマートフォンやノートPC、入退室管理システムなどのほか、FIDO対応サービスなど、オンラインサービスへのログイン手段としても活用が進んでいます。
一人ひとり異なる生体情報を使うため、パスワードのように盗まれるリスクが低く、操作もスムーズで利便性が高いのが特徴です。ただし、指先の傷や乾燥、読み取り機の精度によっては認証がうまくいかないケースもあるため、代替手段の用意が必要になります。
顔認証
顔認証は、カメラで撮影した顔の特徴をもとに認証を行う方式です。目や鼻といったパーツの位置、輪郭などを認識し、距離や角度、色の濃淡等から本人かどうかを判断します。
iPhoneやAndroid端末、Windows Hello対応PCなどにも搭載されており、ロック解除やアプリログインなどに活用されています。ただしマスクの着用や化粧の変化などによって精度に影響が出るケースもあるため、状況に応じた調整が必要です。
行動認証
行動認証は、ユーザー特有の行動パターンから本人性を判断する認証方式です。タイピングの速度や打鍵リズム、マウス操作の傾向、スマートフォンの持ち方や傾け方などから判断します。
継続的にデータを取得しながらリアルタイムで判定できるため、ログイン後の操作中に不審な挙動があれば追加認証を求めることも可能です。本人しか再現できない癖を活かすことで、ユーザー体験を損なわずにセキュリティを高められます。
認証方式を選ぶ際のポイント
認証方式は、それぞれセキュリティ強度や使いやすさが異なるため、導入の目的や利用シーンに応じて適切な方式を選んでください。たとえば、ECサイトや会員制サービスなどでユーザーに手軽にログインしてもらいたい場合、SMS認証やメール認証のように、簡単に入力できる仕組みや、なじみのある仕組みが望ましいです。
このような場面で利便性とセキュリティの両立を図りたい場合には、フェイルオーバー機能の活用が有効です。フェイルオーバー機能を使えば、ひとつの認証方法が失敗した際に、自動で別の手段に切り替えられ、ユーザーの利便性を損なわずに確実な認証を実現できます。一方、金融分野のように高度なセキュリティが求められる業務では、指紋認証とワンタイムパスワードを組み合わせるなど、複数の要素を組み合わせるのが効果的です。
このように、認証方式は利用シーンや目的に応じて最適なものを選び、利便性と安全性のバランスを意識しながら、自社に合った仕組みを設計することが重要となります。
Vonage Verifyでは、SMS・音声通話・メールなど複数の認証チャネルを用いた本人確認が可能です。初回の認証が失敗した場合でも自動的に別手段に切り替えるフェイルオーバー機能を備えているため、ユーザーの離脱を防ぎながら高いセキュリティを確保できます。これにより、企業側の機会損失の回避にもつながります。
二要素認証システムとして国内外問わず利用されており、ワンタイムパスワードの生成から送付、正誤判定までをVonage側で提供可能です。Vonaga Verfyの詳細については、以下のサイトをご参考ください。
「Vonage」のご紹介
Vonageは、電話やSMS・ビデオ・チャット・SNSなど、さまざまなコミュニケーションチャネルをWeb・モバイルアプリケーションやビジネスへ組み込めるクラウドAPIサービスです。自動電話発信や電話転送、対話型IVR、自動SMS通知や二要素認証など、多岐にわたるサービスを実現できます。
コミュニケーションに関わる機能を自社で1から開発するのには多大な工数がかかります。通信の暗号化といったセキュリティ対策など考慮せねばならない点も多く、そのために実装を諦めてしまう企業も少なくありません。
しかしVonage APIと連携すれば、それらの工数をすべてVonage側が担ってくれます。お客様側でのインフラ開発はもちろん、ネットワークの構築・維持コストも必要ありません。ただ数行のコードを書き加えるだけで、自社サービスをマルチチャネル化できるのです。
Vonage Verify
Vonage Verifyはワンタイムパスワードの生成から送付、正誤判定までをワンストップで提供している二要素認証(2FA)APIです。Vonage Verifyを利用することで、自社で1から開発することなく、二要素認証のシステムを自社サービスに導入できます。
Vonage Verify ではマルチチャネルな配信ロジックを組むことも可能で、国内外を問わず高いワンタイムパスワード到達率を誇ります。また認証成功時に料金が発生する仕組みのため、不要なコストがかかりません。
自社で二要素認証のシステムを開発する場合、インフラプラットフォームの費用やPINコードの管理が必要になったり、不正アクセスの防止策や失敗試行の検出方法を考慮したりと、大幅な導入・運用コストがかかります。
しかし Vonage Verifyなら、認証成功率が一定の値を下回ったりや認証回数の閾値を超えたりした場合、パスワード送付を自動で停止します。不正行為を防止する仕組みがあらかじめ備わっているため、認証成功時の利用料金だけでセキュリティ対策を実施できるのです。
まとめ
執筆者情報
