二要素認証とは
二要素認証とは、『ユーザだけが知っている何か』『ユーザだけが所有している何か』『ユーザ自身の特性(指紋など)』のうち、2つの要素を組み合わせてユーザの身元を確認する仕組みのことです。
例えば、銀行のATMを利用する場合、暗証番号を「知っている」ことと、キャッシュカードを「所有している」ことで、初めて預金を下ろしたり振り込みしたりすることができます。
また、銀行などで利用されている指紋認証はユーザ自身の特性を認証しています。
二要素認証における組み合わせ例
二要素認証における従来のID・パスワード認証との組み合わせの例としては以下が挙げられます。
電子証明書認証
- 利用方法
- 電子証明書のインストール
- 配布・登録
- オンライン手続き
- 専用ハードウェア
- 不要
- 費用
- 電子証明書導入
- 認証方法
- 自動認証
- 接続デバイス制限
- 可
ワンタイム
パスワード認証
- 利用方法
- 使い捨てパスワードを入力
- 配布・登録
- 専用トークンの配布
- 専用ハードウェア
- 専用トークン
- 費用
- 専用トークン導入
- 認証方法
- 制限時間内にパスワード入力
- 接続デバイス制限
- 不可
携帯電話認証
- 利用方法
- アクセスごとの着信に応答
- 配布・登録
- 携帯電話を配布
- 専用ハードウェア
- 携帯電話
- 費用
- 電話回線導入
- 認証方法
- 電話応答
- 接続デバイス制限
- 不可
マトリクス認証
- 利用方法
- 乱数表に記載されたパスワードを入力
- 配布・登録
- 乱数表の配布
- 専用ハードウェア
- 乱数表
- 費用
- 乱数表の管理
- 認証方法
- 乱数表からパスワード入力
- 接続デバイス制限
- 不可
上記のワンタイムパスワード認証・携帯電話認証・マトリクス認証の場合、クラウド環境にアクセスする毎にパスワードの入力を別途求められる事になり、専用トークンや乱数表などを常に持ち歩くなど管理が煩雑になりがちになります。
これに対し、電子証明書は端末にインストールするだけ、登録や配布もオンラインで行うことが可能です。
電子証明書による認証は、基本的に自動で行われ、ウェブブラウザでクラウド環境にアクセスした際に、デバイスにインストールされている電子証明書を認識しアクセス可否を判断します。
ID・パスワードと電子証明書の二要素認証で組織のセキュリティ強化
従来から利用されているID・パスワードを『知っていること』と、デバイスにインストールされた電子証明書を『所有していること』を利用し、両方を組み合わせないとログインできないようにして、アクセス認証を強化することができます。
たとえば業務において、スケジュール表やメールなどの社内業務サービスをノートパソコンやスマートフォン・タブレットを使って外出先から利用する場合、認証がIDとパスワードだけでは漏えいのリスクがあります。また、個人用のデバイスやネットカフェ等からのアクセスが増えるリスクも伴うため、ID・パスワード認証に加え電子証明書がインストールされた端末のみアクセスを許可する環境を構築することで、セキュアなシステム運用が可能になります。
また、グローバルサインのクライアント証明書は、Windowsの機能を利用して証明書のエクスポートを不可とする設定が可能で、例えば、勝手に私物の端末に証明書をインストールできなくするなど、証明書が利用できる端末の制限をかけることができます。
