近年、「クレジットカードを不正に利用された」「SNSのアカウントが乗っ取られた」などのトラブルが増えており、ユーザーの属性情報(アイデンティティ)にもとづくセキュリティ強化が必須となりつつあります。セキュリティ強化のため、特に一般消費者向けのサービスで多く使われているのが、二段階認証(2SA)です。
そこで、この記事では二段階認証の仕組みや種類、導入されているサービス、二段階認証を導入するメリット・デメリットについて解説します。
二段階認証とはログイン認証を2回行う方法のこと
二段階認証とは、不正ログインを防ぐための対策として2回の認証を行い、本人確認によるセキュリティ強化を図る認証方法です。一般的には、1回目の認証ではIDとパスワードで認証を行い、2回目の認証では、スマートフォンに送られてくるワンタイムパスワードや指紋認証、あらかじめ設定した秘密の質問(「ペットの名前は?」「出身小学校の名前は?」という質問)など別の認証方法が求められます。認証を二段階で行うことから二段階認証と呼ばれています。
二段階認証の仕組み
2回目として使われる認証方法について、具体的な例を見ていきましょう。
セキュリティの質問
セキュリティの質問を用いた認証は、あらかじめ登録した質問と回答の組み合わせによって認証する方法です。例えば「母親の旧姓は?」「出身地は?」といった質問に対して回答して認証します。このようなセキュリティの質問は、記憶の定着や利便性の観点から、本人以外にも推察しやすい質問も多く使われているのが実態です。
ワンタイムパスワード
ワンタイムパスワードとは、一定の時間内のみ有効な使い捨てのパスワードを指します。ID・パスワードによるログイン操作を行うとワンタイムパスワードが発行され、SMS、メール、電話、アプリなどで通知されます。スマートフォンなど、あらかじめ指定した端末を所持していなければ認証できない二段階認証のひとつです。
指紋認証
指紋認証は、指紋による認証を求める認証方法です。事前に登録された指紋以外ではログインができないため、本人性を確認する上で有効な方法といえます。また、暗証番号などの記憶に頼ることなく認証できるため、管理負担が少ない点も特徴です。
二段階認証が必要な理由
なぜ多くのサービスが二段階認証を導入しているのでしょうか。二段階認証が必要とされる主な理由として、次の2点が挙げられます。
不正アクセスの増加
二段階認証が必要な理由は、本来であればアクセス権限のない者が、他人のユーザーID・パスワードを利用してログインする「不正アクセス(不正ログイン)」の増加です。昨今、不正アクセスによるサイバー攻撃が後を絶たず、従来のID・パスワードのみにもとづくログイン認証では被害を防ぐのが困難になりつつあるのが実情です。
Oktaが発行している「The State of Secure Identity Report 2023」では、2023年1月1日~6月30日までの調査期間でクレデンシャルスタッフィング攻撃(盗まれたアカウント情報を利用してほかのサービスに不正アクセスを行うこと)が最も多く発生した日には2,700万件以上の攻撃が検出されたとあり、実際に攻撃が多いことが報告されています。さらに、ログインを試みた全体の24.3%がクレデンシャルスタッフィング攻撃であり、このような攻撃は特に小売ECサイト、メディア、ソフトウェア/SaaS/テクノロジー、金融関連のサービスにおいて多く見られました。
このように年々インターネット上での不正ログインは多発しており、主な被害例としては下記が挙げられます。
<不正ログインの主な被害例>
- 住所や氏名、年齢や電話番号など個人情報の漏洩
- 企業秘密など会社の重要データの流出、持ち出し
- ネットバンキングを悪用した不正送金
- SNSのアカウントの乗っ取り、なりすまし
- ウェブサイトへの不正ログインによる改ざん、削除
- ほかのサイバー攻撃の踏み台に利用
こうした被害を未然に防ぐには、攻撃者にとって不正ログインの難度が高まるセキュリティ対策が求められます。そのための対策として、二段階認証が導入されているのです。
パスワードが漏洩するリスクの増加
二段階認証が必要な理由は、パスワード自体が漏洩するリスクが高まっているからです。「パスワードの使い回し」「不適切なパスワードの保存」「アカウントの放置」などが行われていれば、不正ログインされて情報漏洩するリスクが増大します。さらに、攻撃者はほかのサービスでも同一のパスワードによる不正ログインを試みる可能性があるため、被害が拡大するおそれがあります。
二段階認証と二要素認証の違い
二段階認証と二要素認証の違いは、ログインするために使われる要素の数が2つに確定しているかどうかです。二要素認証とは、「知識要素」「所有要素」「生体要素」の3要素のうち、異なる2つの要素を使用して認証を行います。
<使用する認証要素>
- 知識要素:本人だけが知っている情報(パスワード、暗証番号、秘密の質問など)
- 所有要素:本人だけが持っているもの(スマートフォン、ワンタイムパスワードなど)
- 生体要素:本人の身体的特徴に由来する情報(顔、虹彩、指紋、声紋、静脈パターンなど)
どちらも2回認証を行う方法ですが、二要素認証が確実に2種類の要素を使って認証しているのに対し、二段階認証は必ずしも2種類の要素を用いません。例えば、ID・パスワードでの認証(一段階)と秘密の質問(二段階)はどちらも「知識」要素です。
二段階認証を導入するメリット
二段階認証を導入するメリットは、セキュリティが向上し、不正ログインを予防できることにあります。パソコンやスマートフォンを使って多くのサービスが利用できる一方で、サイバー攻撃による不正ログインは多発しています。不正ログインされると、個人情報の窃取とサービスの不正利用をされるおそれがあります。
二段階認証で認証プロセスを複雑化することにより、仮にIDやパスワードが漏洩したとしても、二段階目で不正ログインを阻止することができるのです。
二段階認証を導入する際の注意点
二段階認証の導入によって多くのメリットを得られる一方で、導入する際には注意するべきことがあります。次に挙げる2点については、二段階認証を導入するにあたって十分理解しておく必要があるでしょう。
ユーザー側に手間がかかる
二段階認証を導入するデメリットは、ユーザーの手間がかかることです。認証が1回から2回に増えることによって、ユーザーが行うべき操作が増えるのは避けられません。セキュリティ強化と手間の増加はトレードオフの関係にあるからです。
ユーザーの中には、認証に手間がかかることを煩わしく感じる人もいるでしょう。新たに二段階認証を導入した場合、ユーザー離れにつながるリスクもあることを考慮しておく必要があります。ユーザーにサービスを安全に利用していただくために、二段階認証が必要であることを丁寧に説明することが大切です。
スマートフォンの機種変更でログインできなくなることがある
ユーザーがスマートフォンを機種変更した場合、認証アプリや生体認証とサービスとの紐づけが解除される可能性があります。旧機種がすでにユーザーの手元になければ、二段階認証を解除できない状態に陥りかねません。
ユーザーがログインできなくなる事態を回避するには、機種変更前に二段階認証を解除し、新たな機種で二段階認証を再び設定する操作が必要です。機種変更の際の操作方法をユーザーに伝え、注意を促しましょう。また、機種変更後に旧機種が手元にない状態であっても二段階認証を解除できるよう、何らかの対応策を用意しておくことが重要です。
二段階認証の導入で、より強固なセキュリティを実現
二段階認証は、オンライン上の情報のやりとりにおけるセキュリティを高めるため、多方面のサービスで普及しつつあります。一方で、二段階認証のみで万全のセキュリティ対策を講じられるとは限りません。二段階認証を導入したことで安心するのではなく、常にセキュリティ対策を改善・向上させていく意識を持つことが大切です。