
これまで、Webサービスやインターネットバンキング、SNSなどを利用する際は、「ID(メールアドレスなど)」と「パスワード」を組み合わせて、本人認証を行うことが一般的でした。
しかし近年、フィッシング詐欺による不正アクセスやサイバー攻撃によるアカウント情報の漏洩など、セキュリティ被害が急増しています。こうした背景から、従来の認証方法だけでは不充分とされるようになってきました。
その中で注目されているのが「二要素認証」です。パスワードに加えて異なる認証要素を組み合わせることで、不正ログインのリスクを大幅に下げることができます。
本記事では、二要素認証の基本から具体的な認証方式、導入時の注意点まで詳しく解説します。
二要素認証とは、Webサイトやアプリなどで利用される、性質の異なる2つの要素を組み合わせて本人確認を行う認証方式です。英語では「Two Factor Authentication」と呼ばれ、略して「2FA」という表記で紹介されることもあります。
二要素認証の目的は、IDとパスワード以外に「本人しか登録・操作できない情報」を追加で使うことにより、さらに強固なセキュリティを実現することです。具体的には以下の3つのうち、2つを組み合わせることでユーザーの身元を確認します。
また二要素認証に似た言葉として、「多要素認証(MFA)」というものもあります。多要素認証は、2つ以上の認証要素を組み合わせた方式のことです。したがって、二要素認証は多要素認証の一種であると言えます。
多要素認証について詳しく知りたい方は、「多要素認証(MFA)とは?認証方法の例や必要性をわかりやすく解説」の記事をご参照ください。
これまでWebサービスでは、IDとパスワードの組み合わせによって本人認証を行うのが一般的でした。しかし近年ではフィッシング詐欺や不正アクセスにより個人情報が盗まれ、悪意ある第三者にアカウントや口座が乗っ取られてしまう被害が急増しています。もはや従来のパスワードのみを用いた認証方法では、充分なセキュリティを確保できない状況と言えるでしょう。
そこで、より信頼性の高い手段として注目されているのが二要素認証です。パスワードと異なる要素を組み合わせる二要素認証なら、万が一パスワードが漏洩した場合でも、第三者による不正アクセスを防ぐことが可能です。
すでに金融業界では、ユーザー保護と信頼性の確保のために二要素認証の導入が進められています。たとえば野村証券、SBI証券、楽天証券では、スマホアプリでの生体認証やSMSによる確認コード送信といった二要素認証が導入されました。
参考:楽天証券、全取引で2要素認証必須に 6月1日から - 日本経済新聞
企業にとって二要素認証は、単にセキュリティを強化するだけでなく、ユーザーからの信頼を得るための重要な対策とも言えるでしょう。
「二要素認証」とよく似た言葉に「二段階認証」がありますが、両者は似て非なる概念です。
二要素認証では、「知識(パスワードなど)」「所有(デバイスやトークン)」「生体(指紋や顔など)」という異なる種類の要素のうち2つを組み合わせます。一方、二段階認証では、認証のステップを2段階に分けて行います。
いずれも2つのステップで本人確認を行う点は共通していますが、二要素認証は「異なる性質の要素を用いる」点が明確な違いです。
|
内容 |
例 |
二要素認証 |
2つの異なる要素を組み合わせて行う方式 |
|
二段階認証 |
認証ステップを2段階に分けて行う方式 |
|
二要素認証で利用される認証の要素は大きく3つに分類され、「認証の三要素」と呼ばれています。認証のための三要素について詳しく解説します。
「ユーザーしか知ることのできない情報」を活用して認証を行う要素を、知識要素と呼びます。
従来活用されてきたIDとパスワードの組み合わせ、暗証番号なども知識要素の一種です。そのほかにも、ユーザーが知識として持っている情報はおおむね知識要素として使われます。
なお知識要素には「記憶できる量に限界がある」「メモの流出や不正取得によって漏洩のリスクが生まれる」といった弱点があります。認証に使用する際は、他要素の情報と組み合わせることが望ましいでしょう。
「ユーザーだけが所有しているもの」を活用して認証を行う要素を、所有要素と呼びます。
銀行のICチップ付きキャッシュカードや、スマートフォンなど、ユーザーしか持つことのできないものを認証要素として活用します。
近年で特に導入が進んでいるのが、スマートフォンを活用する認証です。
スマートフォンは1人1台所有することが前提となっているほど広く普及しているデバイスであり、手軽かつ便利なツールとして肌身離さず持ち運ばれています。認証に使うためのものをユーザーに新しく所持してもらう必要がないというメリットがあるのです。
「ユーザーの体の特徴」を活用して認証を行う要素を、生体要素と呼びます。
ユーザーの指紋や静脈、顔、虹彩など、人によって異なる特徴を使うため、最も安全な認証要素とされています。
かつては生体情報を読み取る機器が高価だったため、生体要素を利用して認証を行える環境は限られていました。しかし近年ではスマートフォンをはじめとする多くのデバイスで導入されており、急速に普及が進んでいます。
二要素認証に用いられる代表的な認証方法には、以下が挙げられます。
それぞれ特徴やセキュリティレベル、導入のしやすさが異なるため、自社にあったものを導入しましょう。
ハードウェアトークンによる認証は、専用の物理デバイスを使って本人確認を行う方式です。USB型やキーホルダー型などの小型デバイスを使用し、ワンタイムパスワードを表示させたり、端末に直接挿入して認証を完了させたりする仕組みです。
この方式は、金融機関や企業のVPN接続、機密情報を扱うシステム環境など、高いセキュリティが求められる場面で採用されています。物理的なトークンが必要な分、紛失や管理の手間といった課題もありますが、フィッシングサイトや中間者攻撃に強い点が大きなメリットです。
項目 |
内容 |
メリット |
|
デメリット |
|
携帯電話を利用した二要素認証には、「発番認証」と「SMS(ショートメッセージサービス)認証」の2つの方式があります。
電話による発番認証では、ユーザーが認証システムに電話をかける、または受けることでワンタイムパスワードがアナウンスされ、これを入力することで認証が完了します。
一方、SMS認証は、携帯電話番号に送信されたパスワードを入力する方式です。
いずれも導入が容易で手軽に二要素認証を実現できますが、盗聴やメッセージの転送によるリスクが存在する点には注意が必要です。
項目 |
内容 |
メリット |
|
デメリット |
|
認証アプリを使った方式では、スマートフォンなどにインストールされた専用アプリを使用し、一定時間ごとに生成されるワンタイムパスワード(TOTP:Time-based One-Time Password)を使って認証します。
30秒程度の短いサイクルで自動的に切り替わるため、高いセキュリティ性を確保できるのが特徴です。
代表的なアプリには、Google Authenticator、Microsoft Authenticator、Authy、IIJ SmartKeyなどがあります。ただしサービスによって対応する認証アプリが異なることもあり、複数のアプリを管理する手間が発生する場合もあります。
項目 |
内容 |
メリット |
|
デメリット |
|
マトリクス認証は、ワンタイムパスワード(OTP)の一種で、あらかじめ配布されたマトリクス表(文字列がランダムに並ぶ表)を使って本人確認を行う方法です。
利用者は、サーバーから提示された座標(例:「C3」「E5」など)に該当する文字列をマトリクス表で確認して入力します。文字の位置は毎回変わるため、第三者によるパスワードの推測が困難です。
操作自体はシンプルですが、ユーザーは指定された文字列を見て入力するだけで済むため、簡便さと安全性を両立した方式といえるでしょう。
項目 |
内容 |
メリット |
|
デメリット |
|
生体認証は、指紋や顔、静脈、虹彩など、本人の身体的特徴を利用して認証を行う方式です。これらの特徴は本人しか持ち得ないため、パスワードのように忘れたり他人に漏洩したりする心配がありません。
利便性とセキュリティ性の高さを兼ね備えていることから、今後ますます導入が広がると期待されています。
一方、専用スキャナーやシステムの導入に高額なコストが掛かることがネックです。そのため、現在では金融機関や機密情報・個人情報を扱うサービス利用時など、高いセキュリティを求めるシーンを中心に導入されています。
項目 |
内容 |
メリット |
|
デメリット |
|
二要素認証を導入するには、自社で認証システムを構築する方法と、外部のAPIを活用する方法の大きく2つがあります。それぞれにメリットと課題があるため、自社の目的やリソースに応じた選択が重要です。
自社で認証システムを開発・構築する方法は、自社のサービス要件に合った認証方式を自由に設計できる点が大きなメリットです。例えば、セキュリティ要件が高いサービスでは生体認証を採用したり、独自の認証フローを開発したりといった柔軟な対応が可能になります。
ただし、認証システムの開発には高度な専門知識が欠かせません。また、開発コストがかかるだけでなく、安定した運用までに時間を要するケースもあるため、充分な人的・時間的リソースを確保できる場合に適した方法といえるでしょう。
開発リソースを抑えながら、迅速に二要素認証を導入したい場合には、APIの活用が効果的です。外部のAPIサービスを利用すれば、ワンタイムパスワードの生成・送信・認証処理まで一括で提供してくれるため、ゼロからのシステム構築は不要です。
加えて、短期間で安全性の高い認証フローを整備できるほか、セキュリティの最新動向への対応や障害発生時のサポートを外部ベンダーに任せられるという安心感があります。
専門知識がなくても導入・運用がしやすいため、中小企業やスタートアップにも適した方法です。
フィッシングや不正アクセスの増加により、二要素認証の導入はセキュリティ対策に欠かせません。しかし、二要素認証システムを自社開発するには専門知識やコスト、時間が課題となります。
そこでおすすめなのが、「Vonage Verify」です。
Vonage Verifyはワンタイムパスワードの生成から送付、正誤判定までをワンストップで提供している二要素認証(2FA)APIです。Vonage Verifyを利用することで、自社で1から開発することなく、二要素認証のシステムを自社サービスに導入できます。また認証成功時に料金が発生する仕組みのため、不要なコストがかかりません。
ご興味をお持ちの方は、ぜひお問い合わせください。
この記事では、二要素認証の仕組みや具体的な実装方法、また二要素認証を扱ううえでの注意点について解説しました。
オンラインで便利なサービスが増えるのに伴って、個人情報の流出や不正ログインなど、ユーザーの重要な情報を脅かすセキュリティリスクも増加してきています。
二要素認証の特徴をしっかりと整理し、これからの時代に合った認証システムを作り上げていきましょう。