2018.02.27

【認証の基本③】複数要素の組み合わせで、なりすましやアカウント乗っ取りを防ぐ「二要素認証／多要素認証」

認証の基本を学ぶ「認証の基本②」の前回は、認証の主体や目的、方法によって、認証にはさまざまな種類があることをご紹介しました。オンラインサービスを利用する場合、主体である人に対する認証法として“知識”“生体情報”“所有物”を使った3種類の方法がありました。悪意ある不正なアクセスやログインからユーザーと事業者を守るため、さまざまな認証技術が開発され採用されています。一方でそれぞれの方法に、盗難リスクなどの課題もありました。

そこで、不正に取得した“所有物”や“知識”“生体”情報の悪用によるアカウントの乗っ取りやなりすましなどを防ぐために採用されているのが、「二要素認証／多要素認証」です。文字通り複数の“要素”による認証を行うことで、正当性の確度を上げることができます。

さまざまなシーンで導入が進む二要素認証／多要素認証

例えばネットバンキングのサービスを利用する場合、ID・パスワードの他に、乱数表やトークン、携帯電話に送られるワンタイムパスワードの入力を求められることがあります。この場合パスワードは、被認証者だけが知っている“知識”であり、乱数表やトークン、携帯電話は被認証者が固有に“所有”している物となり、二要素認証が行われているといえます。

またクレジットカード決済を行う場合も、クレジットカードを“所有”していることと、パスワードを入力することで、所有者だけが知っている“知識”による認証を行っています。これも二要素認証です。

さらに最近では生体認証機能が付与されたICキャッシュカードも増えました。ATMを利用する際、生体認証対応のカード＆ATMを利用すれば、カード＝“所有”と暗証番号＝“知識”、さらに静脈等＝“生体情報”による多要素認証が行われ、より高いセキュリティが確保されます。

自治体でも近年、マイナンバー制度の運用に伴い、マイナンバーを扱う端末に対し二要素認証の導入が必須となりました[1]。私たちの生活を取り巻くさまざまなシーンで、二要素認証／多要素認証は浸透してきているのです。

二要素認証と二段階認証の違い

なお、「二段階認証」と呼ばれるものがありますが、これは認証を2段階に分けて行う場合を指します。二要素認証／多要素認証との違いは、例えば知識を使った認証が2回行われる場合も含まれる点です。ID・パスワードによる認証が行われた後、“秘密の質問”による認証が行われる場合、要素としては“知識”の1要素だけなので、二要素認証／多要素認証にはなりませんが、二段階認証にはなります。要素としては1つですが、1段階の認証に比べれば安全性の向上に貢献しているといえるでしょう。

ユーザーを守る二要素認証がユーザビリティを下げる？

パスワードの使い回しが問題となる中、どこか1カ所からパスワード等の情報が漏えいすると、ユーザーの被害は同じID・パスワードを使用している複数のサービス等へ拡散してしまいます。そうした被害を防ぐために、二要素認証／多要素認証は非常に有効です。その一方で、毎日利用するサービスにおいて、ログインする度に毎回、二要素認証を求められるのはユーザーにとって煩雑でもあります。ログインの過程が複雑になるほど、ユーザビリティは低下し、ユーザー離れという事業者にとって望ましくない結果を招いてしまう可能性もあるでしょう。

そこで近ごろ、多くのオンラインサービスやSNSなどで採用されているのが、「リスクベース認証」なのです。ユーザーの利用環境などからリスクがあると判断された時にだけ追加認証を求めるため、通常の利用においてユーザーへの負荷を増やすことがなく、事業者にとってもなりすましや乗っ取りを防ぐために有益です。

また、ユーザーのID・パスワード管理および運用における利便性の向上に、最近多く利用されているものの1つにOpenID（オープンID）があります。次回は、このOpenIDについて解説します。

参考:
[1] 総務省. (2015). 新たな自治体情報セキュリティ対策の抜本的強化に向けて
http://www.soumu.go.jp/main_content/000387560.pdf