「二要素認証」とは、2つの異なる認証要素を組み合わせる認証方法です。3つ以上の認証要素を組み合わせる場合は、「多要素認証」と呼ばれます。二段階認証と違い、1つの認証要素が万が一漏えいしても別の認証要素でブロックできるため、より安全な本人確認が可能です。そのため、ECサイトでの決済やインターネットバンキング、さらには金融機関や地方自治体での情報漏えい対策など、さまざまなシーンで二要素認証が活躍しています。二要素認証の導入を検討している場合は活用事例を参考に、失敗しないためのポイントを知りましょう。この記事では、二要素認証の活用事例や、認証要素の組み合わせパターンについて、詳しく解説していきます。
目次
二要素認証の2つの活用事例
二要素認証は、具体的にどのようなシーンで使われているのでしょうか。二要素認証の導入を検討している場合、まずは活用事例を参考に運用イメージをつかみましょう。ここでは、二要素認証の活用事例を2つ紹介します。
倉敷市の情報漏えい対策
近年、地方自治体が認証サービスを導入する事例が増えています。倉敷市の事例では、マイナンバーを安全に利用、管理するため、職員が使う700台の端末の情報漏えい対策として、二要素認証の仕組みを導入しました。従来のID/パスワードに加えて、ログインの際に職員が所有するICカードの職員証を必要とすることで、「記憶×モノ」の組み合わせにより、さらに安全にマイナンバーを管理できるようになりました。同様に、マイナンバー制度の導入に際して総務省が新たなセキュリティガイドラインを発表したことを受け、情報漏えいや第三者のなりすまし対策の一貫として、二要素認証を導入する地方自治体が増えています。
新生銀行の「新生パワーダイレクト」の不正ログイン対策
オンラインで振り込みや口座残高の確認などができるインターネットバンキングの広がりにより、金融機関でも利用者確認のために二要素認証を導入する事例が増えています。情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2021」によると、セキュリティ脅威のうち、6番目に重大性が高かったのが、「インターネットバンキングの不正利用」でした。[注1]
第三者による不正ログイン対策の一貫として、新生銀行の「新生パワーダイレクト」では、利用者確認のため「スマートフォン認証サービス」を活用しています。ログインの際、ID/パスワードだけでなく、利用者が所有するスマートフォンでの最終承認のプロセスを付け加えることで、第三者にパスワードを盗み取られたり、不正取引が行なわれたりするリスクを減らすことに成功しています。
[注1] 情報処理推進機構:情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
二要素認証で使われる3つの要素
二要素認証は、2つの異なる認証要素を組み合わせることで、安全なログインや本人確認を実現する認証方法です。二要素認証で使われる「知識要素」、「所有要素」、「生体要素」の3つの認証要素を紹介します。
▶︎ 「二要素認証」と「二段階認証」の違いや導入メリット・種類を詳しく紹介
【知識要素】ユーザー本人が記憶している情報
知識要素とは、認証を行うユーザー本人が記憶している知識情報を認証に使うものです。知識要素の代表格がID/パスワードです。ID/パスワードは、長らくログインや本人確認の手段として使われてきましたが、忘れないよう何かにメモしたり、複数のサービスで同じID/パスワードを設定するユーザーが多いのが現実です。近年、不正アクセスによるID/パスワードの流出が増加していることから、万が一第三者に情報が漏れた場合など、知識要素のセキュリティリスクへの懸念が高まっています。
【所有要素】ユーザーが所有するモノにまつわる情報
所有要素とは、認証を行うユーザーが所有しているモノにまつわる情報のことです。認証に使うモノの種類によって、さまざまな認証方法があります。所有要素としてよく採用されるのが、社員証や職員証などのICカードやパスワードトークン、電話番号を利用した着信電話認証です。近年は、スマートフォンの所有率が高まったことから、ユーザー本人のスマートフォンのSMS(ショートメッセージサービス)に認証コードを送るSMS認証も広く利用されています。
【生体要素】ユーザーの身体的な特徴に関する情報
生体要素とは、認証を行うユーザーの身体的な特徴に関する情報のことです。生体要素の例として、ユーザーの指紋を使う指紋認証、顔を分析する顔認証、静脈のパターンを認識する静脈認証などが挙げられます。とくに指紋認証や顔認証は、iPhoneなどのスマートフォンに採用された結果、今では身近な認証方法の1つとなりました。生体要素を使う生体認証は、ユーザー本人の身体データを使うため安全性が高い一方で、機器やシステムの導入コストが高かったり、ユーザーによっては身体データの登録に忌避感を覚える方がいたりするといった課題も存在します。
二要素認証の主な2つの組み合わせパターン例
二要素認証には、さまざまな認証要素の組み合わせパターンがあります。ここでは、二要素認証で採用されることが多い、認証要素の組み合わせパターンの例を2つ紹介します。
ID/パスワード+ワンタイムパスワードの組み合わせ
二要素認証の代表格といえるのが、従来のID/パスワードと、一度きりしか使えないワンタイムパスワードを組み合わせる認証方法です。ワンタイムパスワードは、ユーザーのスマートフォンのアプリで確認できたり、スマートフォンのSMSに送信されます。ID/パスワード(知識要素)とスマートフォンに紐付く情報(所有要素)の2つの要素を組み合わせることで、安全な本人確認が可能です。スマートフォンでの承認作業はほとんど手間がかからないため、ユーザー目線でも利便性が高く、Webサービスへのログインから金融機関のインターネットバンキングまで、幅広く採用されている認証要素の組み合わせパターンです。
▶︎ 「i-dentify(SMS認証)」でセキュリテイ強化
ID/パスワード+電話発信の組み合わせ
近年、注目を集めているのがID/パスワードと電話発信の組み合わせです。従来のID/パスワードに加えて、ユーザーがスマートフォンや携帯電話で特定の電話番号に発信することで、ID/パスワード(知識要素)+電話発信(所有要素)の二要素認証を実現しています。電話発信を認証に用いる場合、着信電話認証サービスを利用するのが一般的です。SMSやアプリなどにワンタイムパスワードを送信する方法と比べて、着信電話認証はユーザーが電話をかけるだけで良いため、より手軽に本人確認ができるのが特徴です。また、「SMSに認証コードが届かなかった」といったトラブルが発生するリスクもありません。二要素認証の導入を検討している場合は、自社の目的や課題に合わせて、認証要素の組み合わせパターンを選びましょう。
▶︎ 「i-dentify(着信電話認証)」でセキュリテイ強化
【まとめ】
二要素認証の活用事例を知り、安全な本人確認の仕組みづくりを
インターネットサービスの利用の広がりと共に、悪意のある第三者がパスワードを盗み取ったり、不正にログインしたりする事例が多発しています。そこで、従来のID/パスワードによるログインに代わって、2つの異なる認証要素を組み合わせる二要素認証の仕組みが注目を集めています。ID/パスワード(知識要素)とスマートフォンへSMSで送信されるワンタイムパスワード(所有要素)の組み合わせや、電話番号への発信(所有要素)との組み合わせなど、二要素認証なら従来よりも安全安心に本人確認が可能です。
