ESET/マルウェア情報局

「二要素認証」と「二段階認証」の違いってなに?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「二要素認証と二段階認証の違いを理解していますか?」を再編集したものです。

 インターネット上の会員制サイトなどにおける個人認証では、パスワードを用いる方法が一般的だ。しかし、最近ではパスワードによる認証だけでは安全性の担保が難しくなりつつある。そこで、新しい認証方式として広がってきているのが二要素認証や二段階認証と呼ばれる認証だ。この記事では、二要素認証、二段階認証の認証方法それぞれの概要や違い、そして認証強度を上げるためのヒントまで解説する。

認証のための3要素

 大手金融機関が提供する金融サービスで不正に金銭が引き出されるなど、攻撃者が不正ログインを行うリスクがかつてなく高まっている。その際に原因の一つと言われているのが認証の脆弱さだ。認証において多用される、パスワードの安全性の根拠は、文字列の組み合わせが多数あるという点だ。例えば、英数字4桁(英字の大小区別なし)のパスワードだと、以下のように約168万通りの組み合わせから一つ選択するものとなる。

図1:英数字4桁の場合、約168万通りの組み合わせ

 約168万通りを人手で検証するには膨大な時間を要するが、性能向上が著しいコンピューターを用いれば、極めて短時間で適合するパスワードを導くことができる。そのため、推測されにくいパスワードを設定するのはもちろんのこと、組み合わせを増やすことが推奨されるようになった。

 最近では大文字・小文字の英字、数字、半角記号などを含めた93種類の文字からなる、15桁以上の組み合わせを作るという方法が推奨されている。しかし、それでもパスワードを破る手法が高度化した結果、脆弱性が懸念されるようになってきている。そもそも、推測されにくい15桁以上のパスワードを利用するシステムごとに異なるものを設定し、暗記することは現実的な運用方法と言い難い。

 そこで、相次ぐ不正ログインなどへの対策として、認証のプロセスを強化する動きが進んでいる。そこで採用が広がっているのが、複数の方法を用いた認証であり、「二段階認証」、「二要素認証」、「多要素認証」などと呼ばれる。これらの認証行為は、複数の「要素」・「段階」で行われることになる。複数の認証を経ることで、突破される確率を限りなく低くすることを目指している。

認証のための三要素

 二段階認証や二要素認証を正しく理解するために、認証の要素について確認しておく必要がある。そこで、ここでは認証の三要素について解説する。

図2:認証のための3つの要素

 ・知識要素

 ユーザーの頭の中にしかない情報をシステム利用時に入力させることで認証を行う仕組み。パスワードによる認証がその代表例だが、秘密の質問やAndroid製のスマートフォン(以下、スマホ)などで採用されている、パターン認証(画面を指でなぞってロックを解除する)も知識要素の一つである。また、画像情報に含まれる文字情報を入力するものも知識要素の認証だ。知識要素の認証は、ユーザーの頭の中にある情報が他人に知られることはないという前提の上に成り立つ。システム構築も比較的容易なため、最も広く普及している認証方法である。

 しかし、パスワードなど認証に使う情報があまりにも単純な組み合わせであったり、本来記憶にとどめるべきパスワード情報がメモなどに残され、誰でも閲覧できる状況にあったりすると、認証強度は著しく低下する。また、システム運営側による、ずさんな管理が原因で個人情報とともにパスワードを漏えいさせる事件も起こっている。パスワードを使用した知識要素だけの認証では、安全とは言い切れない状況となっている。

 ・所有要素

 認証されるユーザーのみが所有している「モノ」を用いて認証する仕組み。ユーザーのみが所有し、他者に共有しないという前提の上で成り立つ認証要素だ。例えば、ICカードを使った認証では、カード内に格納されている情報を用いて認証を行う。金融機関などで普及しているハードウェアトークンを使ったワンタイムパスワードも所有要素に該当する。

 近年、所有要素として注目されているのがスマホだ。ユーザーが肌身離さず持ち歩くスマホにSMSなどでパスコードを送信する方法は、所有要素を使った認証手段として今後も普及する可能性が高い。

 ・生体要素

 ユーザー固有の身体的な特徴を用いて認証を行う方法だ。指紋や静脈、虹彩、顔など、人それぞれで異なる情報を使った認証が知られている。「Windows Hello」でも使われる指紋や顔の情報は、認証で利用される生体要素の代表例として知られる。身体的な特徴を読み取る機器さえあれば、ユーザー側の負担は少なく、安全性も高いとされる。

 以前は読み取る機器が高価なことが障壁となり、その導入は極めて高い安全性が求められる場面に限定されていた。また、身体的特徴という極めてプライベート性が高い情報の提供に対して、一定数のユーザーが拒否反応を示していた。しかし、最近はスマホやパソコンに指紋認証や顔認証を行うための機器が標準で搭載されていく中で、ユーザー側もこうした技術への理解が広がり、急速に普及が進みつつある。

二段階認証と二要素認証の違い

 先述した認証の三要素を踏まえ、二段階認証と二要素認証の違いについて解説する。二段階認証と二要素認証は混同されることも少なくないが、改めてそれぞれの仕組みを理解することで、それぞれの違いを浮き彫りにしていく。

 ・二段階認証の仕組み

図3:二段階認証の認証プロセス

 二段階認証とは「二つの段階を経て認証を行う」ことを指す。異なる要素を組み合わせる場合もあるが、同じ要素である二つの情報を用いて二段階で認証する場合もある。複数の段階で認証を行うことによって、認証を破られる確率が乗算的に低くなる。その分、ユーザーによる認証の手間は増えるものの、認証強度は高まるという理屈だ。例えば、パスワードに加え、秘密の質問による認証も組み合わせれば、ブルートフォース攻撃や総当たり攻撃などによる認証突破のリスクを低減できる。

 ・二要素認証の仕組み

図4:二要素認証の認証プロセス

 二要素認証とは「認証の三要素の中から、異なる二つの要素を組み合わせて行う認証」のことだ。一般的に採用されることが多いのは、パスワードによる知識要素と、所有要素もしくは生体要素を組み合わせるものだ。二要素認証の場合は、先述の知識要素のみの組み合わせのように、ただ単に「知っている」だけでは認証が成功せず、「持っている」ことや「身体的特徴」の提示が必要となるため、より厳密に個人を識別できる。

 例えば、会員制Webサイトにログインする際に、パスワードで認証を行う。その認証後に手持ちのスマホに送付される、ワンタイムコードを入力して認証する。この場合、ログイン時のパスワードは知識要素、手持ちのスマホを用いることは所有要素に該当する。知識要素と所有要素という二つの要素を用いるため、二要素認証ということになる。

 二要素認証は異なる二つの認証要素を用いるので、必然的に二段階の認証となる。このため、異なる要素を使った2回の認証は、二要素認証でもあり、二段階認証でもあるのだ。混同しやすい点ではあるが、厳密にはそれぞれ異なる認証の仕組みであることについては正しく理解しておきたい。

認証強度を高めるために理解しておくべきこと

 安心して便利なWebサービスを利用するために、二要素認証や二段階認証に関する理解を深めるだけでなく、以下のような点についても対応するようにしたい。

 ・推測されづらいパスワードの設定

 パスワードの安全性を担保するには、他人が容易に推測できないものという前提が求められる。誕生日などの個人情報から類推可能、あるいは単純な文字列の組み合わせなど判別しやすいものでは高い強度を確保できない。この記事の冒頭でも説明した通り、利用する文字の種類と桁数をそれぞれ増やすことにより、組み合わせのパターンが増加していくため、15桁以上とすることが推奨されている。ただし、このような複雑なパスワードを覚えることは現実的ではない。そのため、Webブラウザーに管理を任せることや、パスワード管理アプリなどの導入も検討に値する。

 セキュリティを高めるために知っておくべきパスワード管理の基本
 https://eset-info.canon-its.jp/malware_info/special/detail/200225.html

 ・ワンタイムパスワードの利用

 GoogleなどのWebサービスやSNSなどは、手持ちのスマホを登録しておくことで、ワンタイムパスワードを用いた認証強度を高めるためのサービスを利用できるものが増えている。認証時の負担は多少増えてしまうものの、安全性を確保するためにも積極的に利用するようにしたい。

 どのように設定する?二段階認証の設定の仕方を理解しよう
 https://eset-info.canon-its.jp/malware_info/special/detail/210210.html

 ・機器に搭載された新しいテクノロジーの利用

 スマホやパソコンでは生体認証を用いることが一般的となりつつある。iPhoneではTouch IDからFace IDに進化し、幅広い場面で利用できるようになっている。認証で利用する生体情報はスマホやパソコンに保存されるため、紛失・盗難を回避できれば情報流出のリスクは低い。また、指や顔をかざすだけ、というシンプルな作業で認証できるため、ユーザー側の作業負担も少ない。

 もちろん、前提としてユーザーが正しくその認証の方法を理解しておく必要がある。正しい知識を前提に、こうした新しいテクノロジーを積極的に利用することも安全性を高めることにつながる。

デジタル時代の生活で求められる防犯対策として

 スマホの普及期から時間が経過し、デジタルテクノロジーの存在を前提とした生活が定着しつつある。生活様式が変われば、行動変容が求められる。また、コロナ禍がデジタル化をさらに進展させる可能性も想定しておく必要がある。

 デジタルテクノロジーがさまざまな場面で生活と密接に関連しつつある中、自らの生活を脅かす行為もデジタルに関係したものが増えてきている。一方で、被害を防ぐための対策を講じる側としても、デジタルを活用することで、より強固な対策を施すことが可能となっている。最近は、自らの居場所に関するGPS情報を認証の要素として利用することも検討されるなど、今後も認証にまつわる方法は進化していく可能性が高い。

 とはいえ、当面は二要素認証や二段階認証が認証におけるデファクトスタンダードになることが見込まれており、それぞれの特徴を適切に把握した上で、積極的に導入することを推奨したい。