ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
インターネット上で本人認証を行うときに、これまでは「IDとパスワード入力」が一般的な認証方法でした。しかし、ウェブ上に流出したパスワードリストを使った「リスト型攻撃」などの方法で、既存のパスワード認証は脆弱になっています。DX化を進める企業が脆弱な従来の認証方法を利用し続ける場合、不正アクセスのリスクが高まるでしょう。本人認証を強固にし、不正アクセスに対策する方法として新しく生まれた認証方法が2要素認証です。
この記事では2要素認証が普及した背景やメリット・デメリット、「認証の3要素」それぞれの特徴や、導入時のポイントを解説します。
2要素認証とは
2要素認証が必要とされる背景
2要素認証のメリット
2要素認証のデメリット
主な2要素認証の種類と特徴
2要素認証を導入するときのポイント
まとめ
2要素認証とは、「認証の3要素」のうち、2つの要素を使用して利用者を認証する仕組みのことです。認証の3要素は「知識要素」「所持要素」「生体要素」の3つを指します。
2要素認証は「知識要素と生体要素」や「生体要素と所持要素」のように、2種類の異なる要素を組み合わせることにより認証を行う点が特徴です。
利用者は認証時に2種類の要素が求められ、認証のセキュリティ強度を高められます。
2要素認証と名前が似ている認証方式に「2段階認証」があります。
2段階認証とは、認証を1回目・2回目の2段階に分ける認証方式です。1回目と2回目で認証要素を異なる種類に変える必要はなく、単に認証を2段階に分ける場合も2段階認証に含まれます。例を挙げると、1回目の認証で「ID・パスワード」、2回目の認証で「秘密の質問」を求めるなど、知識要素と知識要素を組み合わせるケースが2段階認証に該当します。
一方の2要素認証も、2段階の認証を行うという点は2段階認証と同じです。しかし、2要素認証では必ず2種類の認証要素を組み合わせます。同じ認証要素を組み合わせてもよい2段階認証と比較して、2種類の認証要素を要求する2要素認証は強固なセキュリティを実現可能です。
強固なセキュリティを誇る認証方式としては、多要素認証が知られています。
多要素認証とは、「知識要素」「所持要素」「生体要素」のうち、2種類以上の認証要素を組み合わせた認証方式です。複数の認証要素を組み合わせることで、認証時に利用者が求められる情報が増えて、セキュリティを強化できます。2種類の認証要素を組み合わせる2要素認証も、多要素認証の1つです。
多要素認証についてより詳しく知りたい方は、下記のページをご一読ください。
2要素認証が使われている身近な事例を3つ紹介します。
・インターネットバンキングへのログイン
インターネットバンキングにログインする際は、ID・パスワードとワンタイムパスワードによる2要素認証が広く採用されています。ID・パスワードの知識要素と、都度発行されるワンタイムパスワードの所持要素でセキュリティを強化している事例です。
・社内システムへのログイン
企業によっては社内システムへのログインに、ID・パスワードとスマートフォンからの指紋認証による2要素認証を採用しているケースがあります。ID・パスワードの知識要素と、指紋認証の生体要素を組み合わせることで、セキュリティ強化とデバイス管理が行えます。
・銀行ATMからの出金・送金
ATMからお金を出金・送金するときは、キャッシュカードや通帳をATMに入れて暗証番号を入力する必要があります。キャッシュカードなどの所持要素を所持していても、知識要素の暗証番号を知らなければサービスを利用できない仕組みです。
従来、一般的なウェブサイトではID・パスワードを入力する形での認証が広く使われてきました。しかし、近年はウェブサイトを取り巻くセキュリティ上のリスクが増加しており、より複雑な2要素認証が求められるようになっています。2要素認証が必要とされる背景を、3つの理由から解説します。
既存のパスワード認証では、サイバー攻撃の増加・高度化に対応して十分なセキュリティを保てないため、2要素認証が求められています。
広く使われてきたパスワード認証は、限られた利用者だけがパスワードを知っていることを前提とした、1つの知識要素のみを求める認証方式です。しかし、パスワードはどこかで流出する可能性があります。パスワードを厳重に管理していても、利用者のパスワードが推測され、認証を突破される事例も少なくありません。
パスワード認証は、過去に流出したID・パスワードの情報を使用する「リスト型攻撃」に弱い欠点も抱えています。パスワードの使い回しをしている場合は、リスト型攻撃によって複数の認証が容易に突破されるでしょう。
激しさを増すサイバー攻撃に対し、既存のパスワード認証のみでは対応できません。より強固なセキュリティ方法として、2つの認証要素を組み合わせる2要素認証が求められています。
クラウドサービスが普及する中で、不正アクセスを防ぐために2要素認証の重要度が増しています。
クラウドサービスの普及によって、重要データをクラウド上で保管するケースが増えました。重要データを保管できるクラウドサービスは、攻撃者にとって魅力的な攻撃対象です。不正アクセスの増加が懸念される状況に対して、脆弱なパスワード認証だけでは不正アクセスを防ぐことは難しいと言えます。
クラウド上に保管される重要データを保護するために、クラウドサービスを提供する企業の多くが2要素認証を取り入れています。
テレワークの拡大により、これまで社内で完結していたネットワークやアクセス端末を、社外に持ち出す必要が生まれたことで2要素認証が求められています。
テレワークを導入した企業は、従業員が利用するネットワーク環境や、従業員が独自に使用するシャドーITのセキュリティリスクを考慮しなければなりません。端末の紛失・盗難も起こり得るため、情報流出を防ぐには高度なセキュリティ対策が必要となっています。
2つの要素を組み合わせる2要素認証は、サイバー攻撃を防ぎやすくなると同時に、端末の紛失・盗難による物理的な攻撃にも強い点が特徴です。テレワーク拡大によって増加した攻撃リスクへの対策として、2要素認証の導入も並行して進める企業が増えています。
2要素認証はクラウドサービスや金融機関のWebページ、SNSのアカウント保護などさまざまな場面で利用されています。従来はパスワード認証のみであったサービスが2要素認証の導入を進めている理由は、2要素認証のほうがメリットが多いためです。
2要素認証の主なメリットを2つ紹介します。
パスワード認証の脆弱性対策ができる点が、2要素認証のメリットです。
2要素認証は多くのケースで、パスワード認証に所持要素・生体要素のいずれかを付与する形で導入されています。
認証方式がパスワード認証のみでは、認証情報が流出している場合やリスト攻撃が行われた場合にデータを十分に守れません。パスワード認証と秘密の質問を組み合わせた2段階認証も、端末から個人情報が流出した場合に突破されるおそれがあるでしょう。
一方で2要素認証であれば、パスワード認証と異なるもう1つの認証要素によってデータを守れます。万が一攻撃者によってパスワード認証が突破されても、所持要素もしくは生体要素は盗難が難しいため容易には突破されません。
2要素認証を導入すると、不正アクセスに代表される攻撃から顧客情報などの重要なデータを守れます。サービスを利用する顧客に安心感を与えられ、安定した経営を実現しやすくなる点が2要素認証のメリットです。
また、重要な情報の流出を防ぐために、国は2要素認証などの多要素認証の導入を推奨しています。クラウドサービス提供事業者や医療機関・金融機関だけではなく、インターネットを利用する企業・個人向けのガイドラインも国から提供されています。
【ガイドラインの例】
出典:総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」
出典:厚生労働省「医療情報システムを安全に管理するために(第 2.1 版)」
出典:経済産業省「クレジットカード・セキュリティガイドライン【4.0 版】」
出典:内閣サイバーセキュリティセンター(NISC)「インターネットの安全・安心ハンドブック Ver5.00」
国は不正利用防止対策の整備を進めており、将来的に幅広い事業分野において、2要素認証を含めた多要素認証の義務化が行われる可能性もあります。企業がコンプライアンスを守るためにも、2要素認証は重要なセキュリティ対策となるでしょう。
2要素認証は導入によって多くのメリットがあるものの、デメリットがないわけではありません。2要素認証の導入を検討している企業は、デメリットについても把握することが重要です。
2要素認証のデメリットを2つ紹介します。
2要素認証を導入する際には、導入する認証方法に合わせたコストがかかります。
知識要素であればシステム側の費用が、生体要素であれば身体的特徴を読み取る機器の導入費用が必要です。所持要素であれば、IDカードなどの認証用情報と読み取り用の機器を導入しなければなりません。認証を行う利用者の数が多ければ多いほど、導入にかかるコストは大きくなります。
ただし、導入する認証方法によっては、コストを抑えて2要素認証を実現できるケースもあります。例を挙げると、ICカードタイプの社員証で勤怠管理を行っている企業は、認証用のカードリーダーを導入するだけで社員証を所持要素にすることが可能です。
2要素認証のもう1つのデメリットは、認証を行う利用者の一部が手間に感じるケースがある点です。
従来のID認証に加えて生体要素もしくは所持要素を導入した場合、認証作業にかかる時間は増えます。認証はアクセス・ログインするたびに行う必要があるため、利用者によっては手間に感じてしまうケースもあるでしょう。
2要素認証は異なる認証要素で2段階の認証を行う方法であり、手間が増えること自体は避けられません。しかし、導入するシステムによっては利用者が手間を感じにくい仕組みも作れます。例を挙げると、非接触タイプのICカードでの認証は機器に挿入する必要がなく、手間があまりかかりません。
セキュリティを高めつつ、利便性の確保もできる2要素認証を導入するのがおすすめです。
2要素認証に使用される認証には3つの種類があり、それぞれ異なる特徴があります。認証方法をどのように組み合わせるかによって、セキュリティの強さや認証にかかる手間が変わるため、導入する際は組み合わせをよく検討しましょう。
2要素認証で使われる3種類の認証要素と、それぞれに該当する認証方法の特徴を解説します。
知識要素を使った主な認証方法は下記の3種類です。
[blog_borderbox]
・IDとパスワード
利用者ごとに割り振られたIDと、IDに適合するパスワードで認証を行う方法です。パスワードは基本的に利用者が設定するため、利用者のみが知る知識要素となります。
・PINコード
PINは「Personal Identification Number」の略で、PINコードとは暗証番号のことです。PINコードは数桁の数字を組み合わせた番号となっていて、主に端末の保護に用いられています。
・秘密の質問
「初めて飼ったペットの名前は?」「母親の旧姓は?」などの個人的な質問で、本人確認を行う認証方法です。秘密の質問と回答の内容は、利用者が自由に設定できます。
[/blog_borderbox]
知識要素は、原則として利用者本人だけが知り得る情報にもとづいて認証を行います。ただし、利用者本人だけが知り得る情報も流出する可能性はあります。知識要素単独では、セキュリティ性能には期待できません。
所持要素は、利用者のみが所有する物や情報を認証に用います。所持要素を使った主な認証方法は下記の4つです。
[blog_borderbox]
・ICカード認証
ICチップ付きのICカードをカードリーダーに通し、認証を行う方法です。チップにプログラムされたデータにより、高度な認証が行えます。
・ワンタイムパスワード
認証を求めた際にSMSなどで発行されるワンタイムパスワードを用いる方法です。ワンタイムパスワードは一定時間経過すると使えなくなるため、認証情報の流出・盗難に強いメリットがあります。
・クライアント証明書
端末にインストールされたクライアント証明書を用いて、認証を行う方法です。クライアント証明書の確認により、正規のアクセスユーザーのみを許可できます。
・セキュリティトークン
セキュリティトークンとは、ワンタイムパスワードを生成する機器のことです。セキュリティトークンを端末に接続すると、生成されたワンタイムパスワードにより認証を行います。
[/blog_borderbox]
所持要素を使った認証方法は、認証に使用する物や情報を厳格に管理することで強固なセキュリティを実現できます。
生体要素は利用者本人の身体的特徴にもとづいた認証方法です。下記の認証方法があります。
・顔認証
輪郭の形や目・鼻・口の位置など、人それぞれで異なる顔の要素によって認証を行う方法です。顔認証を行う際は、顔全体がよく見えるようにカメラで映す必要があります。
・指紋認証
指紋を認識するセンサーに指をタッチし、認証を行う方法です。指紋の形状は人によって違いがあり、登録済みの指紋データと照合して利用者本人であることを確認できます。
・虹彩認証
黒目の瞳孔を囲んでいる虹彩は、指紋と同様に人それぞれで違いがあります。虹彩認証は、カメラで虹彩を撮影して、あらかじめ搭載された虹彩データと照合する認証方法です。
・静脈認証
赤外線を照射するセンサーに指や手のひらをかざし、静脈の血管パターンを読み取ることで認証を行う方法です。体内にある血管パターンは偽装が難しく、信頼性の高いセキュリティとして活用できます。
生体要素は盗難がしにくく、本人認証の信頼性が高い点が特徴です。ただし、センサーなどの機器導入コストが高額になりやすいデメリットもあります。
2要素認証を導入する場合は、メリット・デメリットや認証要素の組み合わせ方に加えて、いくつかのポイントに注意すべきです。2要素認証を導入するときのポイントを3つ紹介します。
2要素認証はセキュリティ強化に役立つものの、認証に使う機器の管理がいい加減な場合、セキュリティが低下するリスクがあります。
例を挙げると、ICカードやセキュリティトークンが盗難被害に遭った場合、攻撃者は盗んだ認証用機器をそのまま使用して認証を突破できます。2要素認証によるセキュリティを高い状態で維持するには、機器の管理を厳格に行いましょう。
ICカードなどのように持ち運びやすい機器は、原則として安全性の高い場所に保管し、携帯する際は置き忘れを防ぐようにしてください。盗難・紛失が発生した場合の対応手順を決めることも大切です。
生体認証は利用者本人の生体情報を使用する、セキュリティ強度が特に高い認証方法です。しかし、生体認証にはいくつかの突破手段があり、万全のセキュリティではありません。指紋認証における攻撃の例を挙げると、読み取り機器に残された利用者の指紋が復元されることで、認証を突破される可能性があると言われています。
生体認証に使っていたデータが流出した場合、利用者本人の生体情報は変更できないため、対処が困難です。生体認証を過信しすぎず、情報漏洩や機器の取り扱いには細心の注意を払ってください。
高度なサイバー攻撃が行われると、2要素認証であっても突破される危険性があります。認証のセキュリティを高めるには2要素認証だけに頼らず、ほかのセキュリティ対策を併用しましょう。利用者に対してセキュリティ意識を徹底させることはもちろん、システム側にも認証突破を防ぐセキュリティ対策が必要です。
例を挙げると、短時間での認証回数に上限を定めて、トライアンドエラーでの認証突破を防ぐ方法があります。セキュリティ機能にふるまい検知があれば、普段とは異なる時間帯に認証が行われた場合のアラート通知もできるでしょう。
2要素認証とは、「知識要素」「所持要素」「生体要素」の3つのうち、2つの要素を使用して利用者を認証する仕組みのことです。既存のパスワード認証の脆弱化、働き方の変化によるクラウドサービスやテレワークの普及により、よりセキュリティを強固にできる2要素認証の重要性は増しています。2要素認証は従来の認証が持っている脆弱性に対策できるため、国は2要素認証などの多要素認証の導入を推奨しています。
2要素認証の導入にあたっては、認証機器の管理に注意し、生体認証を過信しすぎないようにしましょう。くわえて、ほかのセキュリティ対策を併用すれば、不正アクセスなどの攻撃をより防ぎやすくなります。
メンロ・セキュリティのアイソレーションであれば、ランサムウェアをはじめとする高度なサイバー攻撃への対策が可能です。情報漏洩リスクを無くしながら、高速で安全に端末を保ちたい方はぜひアイソレーションを導入してください。
