ネットバンキングで決済を行うときなど、通常のID(メールアドレスなど)とパスワードの認証に加えて、違う種類の本人確認を求められるケースが増えてきています。2つの認証要素を組み合わせた認証方式を「二要素認証」と呼びます。この記事では、二要素認証を導入するメリットや、「二段階認証」との違いについて、以下の4つの内容を解説します。
- 二要素認証とは?二段階認証との意味の違いを解説
- 二要素認証を導入する2つのメリット
- 二要素認証で組み合わせる認証方式3種類
- 二要素認証の導入方法や導入時のポイント2つ
目次
二要素認証とは?二段階認証との違いを解説
金融機関での振込や会員サイトへの登録など、本人確認を行う際に「二要素認証」を取り入れる企業が増えています。ここでは、二要素認証と混同されやすい「二段階認証」との違いも含めて、二要素認証の仕組みを解説します。
二要素認証は2つの異なる認証要素を組み合わせた認証方式
二要素認証とは、本人確認を行うときに、2つの認証要素を組み合わせる認証方式のことです。従来のID(メールアドレスなど)とパスワードの知識要素だけでなく、別の種類の認証要素を組み合わせることで、さらにセキュリティを高めることができます。二要素認証には、たとえば次のような組み合わせがあります。
- ID/パスワードの入力(知識要素)+SMS認証(所有要素)
- PINコードの入力(知識要素)+指紋認証(生体要素)
また、認証サービスによっては、3つ以上の認証要素を組み合わせる「多要素認証」を採用しているケースもあります。
二段階認証は同じ認証要素を使ってもいい
二要素認証と混同されがちなのが、「二段階認証」です。二段階認証も、二要素認証と同様に、二段階に分けて本人確認を行う点では同じです。しかし、二段階認証では、同じ認証要素を2回使ってもかまいません。たとえば、ID/パスワードの入力後、「秘密の質問」に回答する認証方式は、二要素認証ではなく二段階認証です。後ほど詳しく解説しますが、ID/パスワードも「秘密の質問」も、同じ「知識要素」と呼ばれる認証要素です。つまり、この認証方式では、実質的には1つの認証要素しか使っておらず、二要素認証にはなりません。
二要素認証を導入する2つのメリット
なぜ、二要素認証を導入する企業が増えているのでしょうか。二要素認証を導入するメリットは2つあります。
セキュリティを強化できる
ID/パスワードでの本人確認など、1つの認証要素しかない認証方式を「単要素認証」といいます。単要素認証には、大きなセキュリティ上の弱点があります。認証要素が1つしかなければ、たとえばID/パスワードが外部に漏えいした場合、不正アクセスの被害に遭う可能性があるからです。同じID/パスワードを複数のWebサービスで使い回していれば、さらに危険が高まります。ID/パスワードのリストを入手したハッカーが、他のWebサービスにも不正アクセスできないか試す「リスト型攻撃」を行い、被害が拡大するリスクがあるからです。
実際に、2019年にはモバイル決済サービス「7pay」で不正利用が発生し、原因としてリスト型攻撃が行われた可能性が高いと発表されました。他のWebサービスのID/パスワードなどを流用し、認証サービスの本人確認を突破した結果、大きな被害が出ています。セキュリティを強化するなら、「二要素認証」の導入を検討しましょう。
単要素の二段階認証よりも安全性が高い
二段階認証を導入していても、単要素では不正アクセスやリスト型攻撃から十分に身を守ることができるわけではありません。たとえば、ID/パスワードや「秘密の質問」で二段階認証を設定している場合、この2つをパソコンに保管していれば、パソコンがサイバー攻撃の被害に遭った際、同時に漏えいしてしまう恐れがあります。しかし、ID/パスワードだけでなくスマートフォンや携帯電話の電話番号と紐付けられた「SMS認証(所有要素)」や、利用者本人の指紋を使う「指紋認証(生体要素)」といった異なる認証要素を組み合わせれば安心です。万が一ID/パスワードが流出しても、攻撃者は2つめの要素の本人確認を突破できません。二要素認証は、単要素認証の弱点を補うことができる認証方式です。
二要素認証で組み合わせる認証方式3種類
二要素認証に使われる認証方式は、大きく分けて3つあります。
特徴 | 具体例 | |
知識要素 | 当人のみが知っている情報のこと | ID/パスワード、PINコード、秘密の質問など |
所有要素 | 当人のみが所有する物に紐付けられた情報のこと | SMS認証、着信電話認証、マイナンバーカード認証など |
生体要素 | 当人の身体的特徴に由来する情報のこと | 顔認証、指紋認証、網膜認証など |
二要素認証が安全なのは、複数の異なる認証方式を組み合わせるからです。たとえば、知識要素はパソコンに保存したり、メモに記録したりと、同じ方法で保管することが多く、一度に流出してしまう危険があります。しかし、たとえば「ID/パスワード(知識要素)」と「SMS認証(所有要素)」の組み合わせなら、万が一どちらか片方が漏えいしても、もう一方の認証要素で不正利用やなりすましをブロックできます。認証システムのセキュリティを強化したい場合は、「二要素認証」を導入しましょう。
二要素認証の導入方法や導入時のポイント2つ
二要素認証を導入する場合は、2つのポイントに気をつけましょう。
すでに利用している認証サービスと異なる要素の認証方式を選ぶ
すでに認証サービスを利用している場合は、異なる要素の認証サービスを導入しましょう。同じ要素の認証サービスを複数導入しても、不正アクセスから十分に身を守ることはできません。片方の認証要素が突破されても、別の認証要素が個人情報を守ってくれるよう、既存の認証サービスとは異なる要素の認証方式を選ぶことが大切です。
二要素認証を利用してもらえるよう、利便性の高い認証方式を選ぶ
二要素認証にはメリットだけでなく、デメリットもあります。二要素認証では本人確認の手間が増えるため、ユーザーに「面倒臭い」「利用したくない」と思われがちです。せっかく二要素認証を用意しても、ユーザーに敬遠されては意味がありません。そのため、ユーザーの負担にならない利便性の高い認証方式を選ぶ必要があります。利便性の高い認証方式として、「SMS認証」「着信電話認証」があります。SMS認証の場合は、スマートフォンや携帯電話に送られてきたSMSから認証コードを取得し、Webサイトのフォームに入力するだけです。着信電話認証では、あらかじめ登録しておいた電話番号から電話をかけるだけで、本人確認が完了します。二要素認証を導入するときは、ユーザーが利用しやすい認証方式を選ぶことが大切です。
【まとめ】
二要素認証と二段階認証の違いを理解し、本人確認のセキュリティ強化を
二要素認証とは、「知識要素」「所有要素」「生体要素」の3つから、異なる2の認証要素を組み合わせた認証方法です。同じ認証要素を2段階に分けて組み合わせた二段階認証よりも安全性が高く、セキュリティを強化できるのが特徴です。二要素認証を導入するときは、既存の認証サービスの認証要素をチェックし、異なる認証方式を採用することが大切です。また、ユーザーに二要素認証を利用してもらえるよう、「SMS認証」「着信電話認証」などの利便性の高い認証方式を選びましょう。
▶︎ 「i-dentify(SMS認証)」でセキュリテイ強化
▶︎ 「i-dentify(着信電話認証)」でセキュリテイ強化