最先端AIセキュリティ「Seceon OTM」(セキオン) > サイバーセキュリティーブログ > メディア > セキュリティの基礎 > セキュリティレベルを向上させる「二段階認証」「二要素認証」とは

セキュリティレベルを向上させる「二段階認証」「二要素認証」とは

セキュリティの基礎
サイバー攻撃
  • LINEで送る
  • このエントリーをはてなブックマークに追加
セキュリティレベルを向上させる「二段階認証」「二要素認証」とは

先日、セブンペイのセキュリティ事故が大きな話題となりました。セキュリティの脆弱性を突かれて不正アクセスされ、結局、1,574人に3,240万円の被害が出ました。このセブンペイにはいろいろとセキュリティ上の問題があったのですが、なかでも段階認証を採用していなかったことで、セキュリティ関係者から驚きの声があがりました。
それでは、この二段階認証とはどういったものなのでしょうか。
本稿では、二段階認証と一緒に、二段階認証と混同されやすい二要素認証についてもご紹介いたします。

目次

1二段階認証と二要素認証の違い

2認証のステップを増やすことの重要性

3日常で用いられる二段階認証・二要素認証の例

4複数の段階や要素を使う認証形態の導入における課題

5二段階認証、二要素認証は堅固なセキュリティには必須の手法

二段階認証と二要素認証の違い

どちらも「2」が出てくるので混同されやすいのですが、二段階認証と二要素認証はまったく異なるセキュリティの仕組みです。
まず二段階認証ですが、その名の通り認証を二段階に分けて行います。通常、使われる認証方式はユーザーIDとパスワードの入力による認証ですが、二段階認証の場合、このユーザーID+パスワードの認証に成功した後、さらにもう一度、認証を行います。
二段階目の認証に使用される方法はさまざまです。再度、別のIDとパスワードを入力する方法もありますし、指紋などの生体認証を使う方法もあります。

次に二要素認証ですが、二段階認証と違い、認証自体は一回しか行いません。
ただし、その認証には「二つの」認証要素を使用します。先ほどもお伝えしたように、よく使われる認証方法であるユーザーIDとパスワードは、認証要素の一つです。二要素認証の場合、さらにもう一要素の認証を求めます。たとえば、その人本人だけが知っている別の事実の入力や、本人だけが所有している物理的なキー要素を提示するなどです。

二つの違いを門に例えるなら、二段階認証は、最初の門が開いた後に、次の門があるというイメージです。二要素認証は、門は一つなのですが、鍵穴が2つあり、鍵が2本必要なイメージです。

認証のステップを増やすことの重要性

認証のステップを増やすと何が良いのでしょうか。

一段階認証を例に考えてみましょう。一段階の認証にユーザーIDとパスワードの組み合わせという一般的な方法を使っているとします。もし不正アクセスでサイトからユーザーIDとパスワードが盗まれたとしたら、一段階認証の場合、それでアウトです。悪意のある攻撃者は、盗んだユーザーIDとパスワードであなたになりすましてログインすることができるでしょう。

それでは二段階目に、あなたしか知らない言葉を入力する…たとえば愛犬の名前などーという認証ステップを追加したとしましょう。先の攻撃者は、盗んだユーザーIDとパスワードで第一段階の認証は突破しました。しかし、次の質問「愛犬の名前」はわかりません。つまり、結果的に攻撃者はログインできないということになります。

このように、認証のステップを増やすとそれだけセキュリティは堅固なものになります。

日常で用いられる二段階認証・二要素認証の例

二段階認証は、日常的に広く用いられています。たとえば、あるWebサイトへのログインにユーザーIDとパスワードを入力し、それが認証されると、サイトに登録されているメールアドレスにセキュリティコードが記載されたメールが送信され、そのメールのセキュリティコードを再度サイトに入力することで初めてログインできる、といった仕掛けです。
この場合、登録されたメールアドレスを受信できるのはあなた本人だけなので、そこに記載されたセキュリティコードはあなたにしかわかりません。これが二段階目の認証になっているわけです。

また、二要素認証も、実は日常で馴染みの深い例があります。それは銀行のATMです。ATMからお金を引き出すためには、まずキャッシュカードを持っている必要があります。キャッシュカードは通常、本人が持っていますので、これが本人認証の一つ目の要素になります。
そして、暗証番号を入力します。暗証番号も本人だけが知っている番号ですので、これが二つ目の要素になります。

このように、二段階認証、二要素認証とも、名前がそれと知らなくても、日常生活のさまざまな場面で活用されています。

複数の段階や要素を使う認証形態の導入における課題

二段階認証、二要素認証とも良いことずくめのようですが、デメリットもあります。
まず、一段階認証や一要素認証に比べると、認証手順が複雑になります。
ユーザーIDとパスワードだけで認証できる方が、さらに認証手段を求められるより手順は簡単です。
また、SUICAのように持っている人イコール本人という一要素認証だと、二要素認証より遥かに手間が減ります。もしSUICAで駅の改札を通過する時にいちいち暗証番号の入力を求められたらどうなるでしょう?

手順が複雑であるということは、ユーザーに負担を強いるのと同時に、システム構築費用もかさみます。
この辺りは、費用対効果を検討したり、同じ二段階認証、二要素認証でもなるべく手順が複雑にならず、シンプルであり、かつセキュリティ的に堅固な方法を考える必要があるといえるでしょう。

二段階認証、二要素認証は堅固なセキュリティには必須の手法

昨今のセキュリティ事情を見ると、不正アクセスによるユーザーID、パスワードの漏洩は決して珍しい事案ではなくなってきています。こうした状況を鑑みるに、もはや一段階認証、一要素認証では十分にセキュアな環境を提供するのは難しくなってきています。つまりは、堅固なセキュリティが必要な場面では、二段階認証、二要素認証を使うことはもはや当たり前になっていると考えるべきなのです。

【無料ダウンロード】サイバーセキュリティに関するお役立ち資料

FAQ

機能・特徴について
契約・お支払いについて
業務範囲について

リスクコントロールに関する
お役立ち資料

リスクコントロールに関するお役立ち資料
無料でダウンロードする

サイバーセキュリティについての
相談承ります

製品・サービスに関する資料請求、導入のお⾒積もりについてのご相談、その他のお問い合わせはこちらで承っております。

詳しくはお問い合わせください

無料でトライアル利用ができます

製品版と同じものを無料でお試しいただけます。
基本的な動作や各種設定など、実機を用いてご案内します。
ご検討中の方は、お気軽にお問い合わせください。

無料トライアルお申込
デモ版の図
  • LINEで送る
  • このエントリーをはてなブックマークに追加