昨今、パスワード漏洩などにより、情報漏洩に関する対策の必要性が叫ばれています。パスワードのみによる従来の認証方法を利用し続ける場合、増え続けるリスクに対応できなくなってきています。そのため、信頼性が高く、堅牢な認証方法の導入が必要となります。パスワードのみを使用するセキュリティのリスクを考慮し、現在は複数の認証方法を組み合わせた二要素認証（2FA）の導入が進んでいます。

二要素認証の概要とセキュリティの向上

二要素認証とは、その概要について

二要素認証は複数の認証方法を組み合わせる事によってセキュリティ強度を高くすることができます。認証に使われる要素は大きく分類すると、「ユーザだけが知っていること」、「ユーザだけが持っている物」、「ユーザ自身の身体的特徴」の3種類に分けられます(後述)。この内、2種類の要素を組み合わせる事で、完璧ではありませんが、セキュリティレベルは格段に高まります。

二要素認証の種類

ユーザだけが知っていること

ユーザが知っている情報や事柄によって認証する方式です。多くの場合パスワードが利用されますが、秘密の合い言葉（自分だけが知っていること）をパスワードとして利用することもあります。パスワードの文字数によってセキュリティの強度が変わりますが、パスワードの覗き見や、キーロガーによって解析されてしまうリスクも存在します。更に複数のシステムで同じパスワードの使い回しや、パスワードの変更期限を設けず使い続けるなどにより、漏洩後のリスクや漏洩のリスクが高まります。

ユーザだけが持っている物

ユーザだけが所有している物を鍵とする認証方法です。ユーザが持っているICカードやUSBトークンなどをさします。銀行が発行する乱数表や、時刻ベースで変化するワンタイムパスワードを表示するトークンなどがあります。これらは実現するためにコストがかかるのがデメリットでしたが、最近ではユーザが所有するスマートフォンを鍵として利用する事例も増えてきています。

ユーザ自身の身体的特徴

ユーザ自身を鍵として利用する方法です。本人の指紋、静脈パターン、顔認証、眼の網膜や光彩を利用した認証方法です。最近ではiPhoneやAndroidなどのスマートフォンのロック解除に指紋認証や顔認証が利用されることもあります。

要素	具体例	メリット
ユーザだけが知っていること	パスワード 暗証番号 秘密の質問
ユーザだけが持っている物	ICカード セキュリティトークン USBドングル スマートフォンアプリ
ユーザ自身の身体的特徴	指紋 手のひら静脈 網膜・光彩

この認証方法は必ず本人の生体データが必要なため、代理ではなく本人であることが必ず求められるという点がメリットであり、デメリットでもあると言えます。

身近な二要素認証を利用したサービスとは

二要素認証は見渡してみると結構身近に存在している認証方法です。では、私たちの身の回りにはどのような二要素認証を利用したサービスがあるのか、いくつか例を挙げて見ていきましょう。

銀行ATM・オンラインバンキング

銀行のATMではこれまでPIN（4桁の暗証番号）を利用した認証を利用してきました。しかし、カードの盗難や磁気カードのスキミングの問題によって、これまでのPINによる認証に加えて指紋認証や手のひらの静脈パターンによる認証（生体認証）を加えることが可能なATMが増えています。

また、最近一般的に利用されるようになったインターネットバンキングについてもパスワードによるログイン認証に加えて、振り込みなど出金処理の際に乱数表による鍵入力や、ワンタイムパスワードトークンによるパスワードの入力、スマートフォンアプリを使った認証などで二要素認証を行っています。

SNSやインターネットサービス

SNSやインターネットサービスの分野においても二要素認証を利用しているものは多く存在します。インターネットサービスの場合は、二要素認証と呼ばずに二段階認証と呼ばれることが多いようです。これらの二要素認証の特徴は特定の接続元や端末をパスワード以外の認証要素として捉えており、それ以外の接続元からのアクセスに対してコード入力などの認証をもとめるところにあります。

Facebook

Facebookは様々な方法での二要素認証を提供しています。ログイン承認と呼ばれるセキュリティ設定は、通常利用していない端末からの接続を認識し、コードの入力を求めます。コードの取得は電話、SMS、選択利用可能な10個のワンタイムパスワードの発行、スマートフォンアプリケーションからの取得など、多様な方法に対応していることが特徴です。

Twitter

TwitterもFacebook同様に登録されていない場所や端末からのアクセスがあった場合にパスワード以外の認証が求められます。この二要素認証については、SMS、Twitterスマートフォンアプリ、やスマートフォンでの承認用コードの発行などが可能です。

Microsoftアカウント

Microsoftアカウントも登録のない端末からのアクセスに対して、SMS、メール、スマートフォンアプリから受け取る認証コードの入力を求めます。

Apple iCloud

AppleのiCloudもMacOSX El Capitan、iOS9.xからiCloudに二要素認証が導入されています。認証されていない新しい端末でiCloudにアクセスすると別の端末で利用を許可するか、SMSで送られてくるパスコードを入力する必要があります。

二要素認証のメリットとデメリット

二要素認証のメリット

二要素認証は、パスワード漏洩やハッキングによる情報漏洩対策として非常に効果が高いメリットがあります。ユーザIDとパスワードでセキュリティリスクを解決しようとすると4文字や8文字といった短いパスワードでは対応できません。かといって文章のような長いフレーズのパスワードを頻繁に更新して利用するには人間の記憶力に限界があります。パスワードの使い回しやパスワードを紙に書いて貼っておくなどのミスを犯して、パスワードとしての意味をなさないこともあります。その点、二要素認証は利用者に負担が少なく、セキュリティレベルを向上させることのできる方法だといえます。

二要素認証のデメリット

二要素認証を導入する際の最大のデメリットはコストです。ICカードやカードリーダー、ワンタイムパスワードの発行の為のトークンのコストや生体認証を行う場合には読み取り用の装置が端末分必要など、ハードウェアを利用するとどうしてもコストが増加してしまうことがデメリットといえます。 しかし、最近では電子証明書を使った認証方式や、個人が持っているスマートフォンそのもの、または、スマートフォンにインストールしたアプリによって二要素認証を実現する方法もありますので、一概に二要素認証は大きなコストがかかるともいえなくなっています。

二要素認証を導入するための製品・サービスを利用する

生体認証を利用する（1台あたり1万円～）

利用者の身体的特徴を利用する認証方法は生体認証と呼ばれ、確実に本人以外を証明する事ができます。また、ICカードなどの別の持ち物を認証の対象とする方法と比べると、家に忘れることや紛失のリスクがない事がメリットです。
デメリットは、端末毎に生体認証の為のハードが必要であることです。ハードは1台につき、1万円から数万円のコストがかかります。また、生体認証の誤検知（本人なのに認証できない）などのトラブルの対応が必要であることや、生体データ自体が機密データとなるので、生体データの管理にも気を遣わなければなりません。

認証用のアイテムを利用する（1台あたり100円～）

認証用アイテムを利用する方法はICカードやUSBトークン、ワンタイムパスワードトークンを利用する方法がメジャーです。このような認証アイテムを利用する方法は、使いやすくコストも比較的安く済む（一つあたり数千円～）事がメリットです。
デメリットは、紛失時の手続きや、カードの管理に手間がかかるという問題があります。

しかし、最近この問題を解決するスマートフォンアプリを利用したソリューションがあります（IIJ SmartKey）。スマートフォンにインストールしたアプリケーションがワンタイムパスワードを表示すると言うもので、この認証方法をつかうと1ライセンスあたり100円という低価格で二要素認証を実現することができます。

電子証明書を利用した認証（1ライセンスあたり年1万円～）

端末にインストールした電子証明書によって認証を行う方法もあります。この認証方法は証明書をインストールした端末から認証を行うということになります。証明書をPCなどにインストールした場合、認証アイテムの紛失等のリスクがない事もメリットです。
デメリットは、電子証明書の発行に時間がかかること、証明書の期限についての管理が必要であることと、コストが高めと言うことです。

要素	具体例	メリット	デメリット	コスト
生体認証	指紋	確度の高い本人認証	生体認証リーダーが高い	1万円〜/1台
	手のひら静脈	使い方が簡単	誤検知への対応	1万円〜/1台
	網膜・光彩	紛失が無い	生体情報の管理リスク	1万円〜/1台
アイテムの利用	ICカード	使い方が簡単	リーダーが必要	数千円〜/1台
	セキュリティトークン	使用する端末を問わない	紛失時の対応が必要	数千円〜/1台
	USBトークン	使い方が簡単	ドライバーのインストールが必要	数千円〜/1台
	ワンタイムパスワードアプリ	使い方が簡単 コストが安い	スマートフォンが必要	100円/１人〜
電子証明書	電子証明書	確度の高い認証 他の要素との組み合わせが容易 複数の端末に導入可能	証明書発行に時間がかかる コスト高い	年1万円/1人〜

どの認証方法にも、メリットとデメリットが存在します。業務や利用シーンを踏まえて最適な認証方法を選択する必要があるでしょう。

煩雑なパスワードのみの管理はやめて、二要素認証を導入しよう

情報はどこから漏洩するかわかりません。そして、一度漏洩すると企業に深刻なダメージを与えるものになりかねません。パスワードのみの管理では様々なリスクに対応しきれなくなっています。セキュリティは目に見える効果が少ないため、後回しとなりがちで、身近で問題が起こってから初めて導入の検討をするということが当たり前のようになっています。 しかし問題が起こってからでは遅いため、事前にリスクの排除を行っておくことをお勧めいたします。

情報セキュリティと利用者の利便性の観点から二要素認証の導入を検討してはいかがでしょうか。