見出し画像

#セキュリティ用語の基礎知識|意外と知らない「多要素認証」「二段階認証」の違いとは?

これまで個人を特定してサービスにログイン(サインイン)する認証には、ユーザー名(ID)とパスワードの組み合わせを用いた方法が一般的でした。しかし、サイバー犯罪者はこのIDとパスワードによる認証情報を常に狙っています。実際、パスワードが第三者に特定されてしまったことで、金銭や機密情報などを窃取されてしまう犯罪は後を絶ちません。そのため、最近ではパスワードだけでなく、他の要素を用いる「多要素認証」を使うサービスが増えています。

そこで今回はサービスへの認証に用いる多要素認証と、混同されがちな二段階認証との違いについて解説し、どうすれば認証の強度を上げられるのかについて考察します。

多要素認証とは

そもそも「認証(Authentication)」とは、相手が「誰(または何)」であるかを確認する仕組みです。サービスの提供者は認証によって相手を特定し、サービスを提供して良いかどうかを判断します。
一方、認証における「要素(Factor)」には次のようなものがあります。

  • 知識情報

  • 所有情報

  • 生体情報

知識情報とは、パスワードなど「知っている」情報による認証を意味しています。ただし、その情報を知ってさえいれば誰でも認証できてしまうということでもあります。

所有情報とは、「所有している」デバイスなどを用いた認証で、スマートフォンなど所有(貸与も含む)しているデバイスを用いて認証します。ただし、デバイスを盗まれたり奪われたりすれば、第三者も利用できてしまいます。

生体認証とは、指紋認証や顔認証など身体の特徴を用いた認証です。身体の一部を使うため、奪われる心配がなく、認証する場に居なければ貸し借りすることもできません。稀によく似た血縁者などが顔認証を突破できてしまうこともあるそうですが、そういった例外はごくわずかです。一卵性双生児でも指紋は異なります。

そして、これらの要素を組み合わせることで、セキュリティ強度を上げた認証方式のことを「多要素認証(Multi-Factor Authentication:MFA)」と呼びます。たとえばIDとパスワードを入力した後、スマートフォンにSMSで送られてきた数字を入力するのは、この多要素認証です。

二段階認証との違い

多要素認証と混同されがちな認証の仕組みに「二段階認証」があります。おそらく混同される理由の一つには、多要素認証で利用する要素が二種類だけの場合、「二要素認証」と呼ぶこともあるからでしょう。

二段階認証とは「二つの段階を経て認証する」という仕組みです。それぞれの段階でどのような要素を使って認証するのかは問いません。そのため、それぞれの段階で異なる要素を使えば、二段階認証でありつつ多要素認証にもなります。つまり、パスワードを入力したあとに秘密の質問の回答を入力させるのも二段階認証ですが、先ほど多要素認証の例として挙げたスマートフォンのSMSと組み合わせた認証も二段階認証です。

当然ですが二段階を超える認証方法も実現可能ですので、実際には多段階認証と呼ぶべきなのかもしれません。ただし、認証の段階が多ければ多いほどユーザーの利便性は低下していきます。

多要素認証として使われる仕組み

複数の要素を組み合わせることでてセキュリティ強度を上げる多要素認証ですが、要素にもセキュリティの強度があります。他の人に知られてしまえば簡単に不正利用できてしまう知識情報よりも、所有情報や生体情報による認証の方がよりセキュアであると言えるでしょう。

ワンタイムパスワード

ワンタイムパスワードは、通常のIDとパスワードによる認証後、メール、SMS、プッシュ通知などで1回限り使用できるパスワードが送られてくる仕組みです。ユーザーが所有しているPCやスマートフォンなどに送信されるため、ワンタイムパスワードは「所有情報」に含まれます。
インターネットバンキングなどでは、専用のセキュリティトークンを使ってワンタイムパスワードを入力するという方法もあります。最近ではセキュリティトークンの機能を持ったスマートフォンのアプリを利用するというパターンも増えています。
最近では「認証コード(セキュリティコードや確認コードと呼ばれることもある)」を送り、専用画面から入力するという仕組みを利用しているサービスも多いようです。

QRコード/バーコード

航空機のチケット、オフィスビルのゲスト入館などで見かけることの多い認証の仕組みです。事前に登録する際に別の要素の認証を経ていることが多く、多要素認証の一つと言えるでしょう。

ICカード+生体認証

銀行のキャッシュカードなどはICカードを利用したものが多く、生体認証で利用できるATMも増えています。また、金融関連など高いセキュリティレベルが要求される企業のシステムでは、専用のICカードを専用のリーダーで読み取り、生体認証を経なければ利用できないこともあります。

FIDO2

パスワードレスで認証する仕組みとして話題になることの多い「FIDO」ですが、現在主流になっているのは「FIDO2」です。スマートフォンなどのユーザーデバイスにクレデンシャル(認証情報)を保存し、公開鍵暗号方式というセキュリティ強度の高い方法でデータを暗号化して認証します。
もちろん、これだけでも十分安全性は高いのですが、サーバーとデバイス間の認証だけでは、所有情報による単要素の認証となってしまいます。そのため、ユーザーがデバイスに対し、指紋認証や顔認証などの生体情報、あるいはPINなどの所有者情報を用いて所有者本人であることを証明することによって、多要素認証となります。

関連記事

まとめ

  • 多要素認証は「知識情報」「所有情報」「生体情報」の要素を複数組み合わせた認証の仕組み

  • 二段階認証とは2つの認証段階を経て相手を特定する仕組みであり、要素の種類は問わない

  • FIDO2はデバイスに対して生体情報や知識情報で認証することで多要素認証となる

いいなと思ったら応援しよう!