昨今、パスワード漏洩などにより、情報漏洩に関する対策の必要性が叫ばれています。パスワードのみによる従来の認証方法を利用し続ける場合、増え続けるリスクに対応できなくなってきています。そのため、信頼性が高く、堅牢な認証方法の導入が必要となります。パスワードのみを使用するセキュリティのリスクを考慮し、現在は複数の認証方法を組み合わせた二要素認証(2FA)の導入が進んでいます。
二要素認証は複数の認証方法を組み合わせる事によってセキュリティ強度を高くすることができます。認証に使われる要素は大きく分類すると、「ユーザだけが知っていること」、「ユーザだけが持っている物」、「ユーザ自身の身体的特徴」の3種類に分けられます(後述)。この内、2種類の要素を組み合わせる事で、完璧ではありませんが、セキュリティレベルは格段に高まります。
要素 | 具体例 | メリット |
---|---|---|
ユーザだけが知っていること | パスワード 暗証番号 秘密の質問 |
![]() |
ユーザだけが持っている物 | ICカード セキュリティトークン USBドングル スマートフォンアプリ |
![]() |
ユーザ自身の身体的特徴 | 指紋 手のひら静脈 網膜・光彩 |
![]() |
この認証方法は必ず本人の生体データが必要なため、代理ではなく本人であることが必ず求められるという点がメリットであり、デメリットでもあると言えます。
二要素認証は見渡してみると結構身近に存在している認証方法です。では、私たちの身の回りにはどのような二要素認証を利用したサービスがあるのか、いくつか例を挙げて見ていきましょう。
銀行のATMではこれまでPIN(4桁の暗証番号)を利用した認証を利用してきました。しかし、カードの盗難や磁気カードのスキミングの問題によって、これまでのPINによる認証に加えて指紋認証や手のひらの静脈パターンによる認証(生体認証)を加えることが可能なATMが増えています。
また、最近一般的に利用されるようになったインターネットバンキングについてもパスワードによるログイン認証に加えて、振り込みなど出金処理の際に乱数表による鍵入力や、ワンタイムパスワードトークンによるパスワードの入力、スマートフォンアプリを使った認証などで二要素認証を行っています。
SNSやインターネットサービスの分野においても二要素認証を利用しているものは多く存在します。インターネットサービスの場合は、二要素認証と呼ばずに二段階認証と呼ばれることが多いようです。これらの二要素認証の特徴は特定の接続元や端末をパスワード以外の認証要素として捉えており、それ以外の接続元からのアクセスに対してコード入力などの認証をもとめるところにあります。
二要素認証は、パスワード漏洩やハッキングによる情報漏洩対策として非常に効果が高いメリットがあります。ユーザIDとパスワードでセキュリティリスクを解決しようとすると4文字や8文字といった短いパスワードでは対応できません。かといって文章のような長いフレーズのパスワードを頻繁に更新して利用するには人間の記憶力に限界があります。パスワードの使い回しやパスワードを紙に書いて貼っておくなどのミスを犯して、パスワードとしての意味をなさないこともあります。その点、二要素認証は利用者に負担が少なく、セキュリティレベルを向上させることのできる方法だといえます。
二要素認証を導入する際の最大のデメリットはコストです。ICカードやカードリーダー、ワンタイムパスワードの発行の為のトークンのコストや生体認証を行う場合には読み取り用の装置が端末分必要など、ハードウェアを利用するとどうしてもコストが増加してしまうことがデメリットといえます。 しかし、最近では電子証明書を使った認証方式や、個人が持っているスマートフォンそのもの、または、スマートフォンにインストールしたアプリによって二要素認証を実現する方法もありますので、一概に二要素認証は大きなコストがかかるともいえなくなっています。
しかし、最近この問題を解決するスマートフォンアプリを利用したソリューションがあります(IIJ SmartKey)。スマートフォンにインストールしたアプリケーションがワンタイムパスワードを表示すると言うもので、この認証方法をつかうと1ライセンスあたり100円という低価格で二要素認証を実現することができます。
要素 | 具体例 | メリット | デメリット | コスト |
---|---|---|---|---|
生体認証 | 指紋 | 確度の高い本人認証 | 生体認証リーダーが高い | 1万円〜/1台 |
手のひら静脈 | 使い方が簡単 | 誤検知への対応 | 1万円〜/1台 | |
網膜・光彩 | 紛失が無い | 生体情報の管理リスク | 1万円〜/1台 | |
アイテムの利用 | ICカード | 使い方が簡単 | リーダーが必要 | 数千円〜/1台 |
セキュリティトークン | 使用する端末を問わない | 紛失時の対応が必要 | 数千円〜/1台 | |
USBトークン | 使い方が簡単 | ドライバーのインストールが必要 | 数千円〜/1台 | |
ワンタイムパスワードアプリ | 使い方が簡単 コストが安い |
スマートフォンが必要 | 100円/1人〜 | |
電子証明書 | 電子証明書 | 確度の高い認証 他の要素との組み合わせが容易 複数の端末に導入可能 |
証明書発行に時間がかかる コスト高い |
年1万円/1人〜 |
どの認証方法にも、メリットとデメリットが存在します。業務や利用シーンを踏まえて最適な認証方法を選択する必要があるでしょう。
情報はどこから漏洩するかわかりません。そして、一度漏洩すると企業に深刻なダメージを与えるものになりかねません。パスワードのみの管理では様々なリスクに対応しきれなくなっています。セキュリティは目に見える効果が少ないため、後回しとなりがちで、身近で問題が起こってから初めて導入の検討をするということが当たり前のようになっています。 しかし問題が起こってからでは遅いため、事前にリスクの排除を行っておくことをお勧めいたします。
情報セキュリティと利用者の利便性の観点から二要素認証の導入を検討してはいかがでしょうか。