ID INFORMATION DEVELOPMENT
お問い合わせ
ソリューション トップ
ITコンサルティング
ITインフラ
アプリケーション開発
セキュリティ製品
セキュリティサービス
AI
IT管理ツール導入
マネージドサービス(運用・保守)
研修サービス
業務改革
ID社の研修サービス
ITIL® 研修,試験
ITIL4ファンデーション ITIL4ファンデーションブリッジ ITIL4スペシャリスト プラクティス認定シリーズ MSF New ITIL4スペシャリスト プラクティス認定シリーズ PIC New ITIL4スペシャリスト プラクティス認定シリーズ CAI ITIL4スペシャリスト CDS ITIL4スペシャリスト DSV ITIL4スペシャリスト HVIT ITIL4ストラテジスト DPI ITIL4リーダー DITS
eラーニング
ITIL4ファンデーション eラーニング
SIAM™ 研修,試験
SIAM™ファンデーション SIAM™プロフェッショナル
DevOps Institute 研修,試験
DevOps Institute DevOps ファンデーション DevOps Institute SRE ファンデーション
AIファンデーション 研修,試験
AIリテラシー教育研修
クラウド コンピューティング ファンデーション 研修,試験
運用基礎研修
ISO/IEC20000 研修,試験
カスタマイズ研修
一社研修のお客様
研修スケジュール
試験バウチャーのみのご購入
再試験のお申し込み(弊社研修を受講された方)
研修会場へのアクセス
導入事例 トップ
サイバーセキュリティ
AI
マネージドサービス(運用・保守)
システム環境構築
業務改革
セミナー
コラム
お役立ち資料ダウンロード
会社情報 トップ
会社概要
社長からのごあいさつ
沿革
経営理念
役員一覧
コーポレートガバナンス
フェロー紹介
電子公告
IDグループ トップ
株式会社IDホールディングス
株式会社 プライド
愛ファクトリー株式会社
ID武漢
IDシンガポール
IDアメリカ
IDヨーロッパ

KNOWLEDGE - COLUMN ナレッジ - コラム

セキュリティレベルを向上させる「二段階認証」「二要素認証」とは

2019-09-12

セキュリティマネジメント ナレッジコラム

コラムイメージ画像

関連するソリューション

セキュリティサービス

セキュリティ製品

先日、セブンペイのセキュリティ事故が大きな話題となりました。セキュリティの脆弱性を突かれて不正アクセスされ、結局、1,574人に3,240万円の被害が出ました。このセブンペイにはいろいろとセキュリティ上の問題があったのですが、なかでも段階認証を採用していなかったことで、セキュリティ関係者から驚きの声があがりました。

それでは、この二段階認証とはどういったものなのでしょうか。
本稿では、二段階認証と一緒に、二段階認証と混同されやすい二要素認証についてもご紹介いたします。

二段階認証と二要素認証の違い

どちらも「2」が出てくるので混同されやすいのですが、二段階認証と二要素認証はまったく異なるセキュリティの仕組みです。
まず二段階認証ですが、その名の通り認証を二段階に分けて行います。通常、使われる認証方式はユーザーIDとパスワードの入力による認証ですが、二段階認証の場合、このユーザーID+パスワードの認証に成功した後、さらにもう一度、認証を行います。
二段階目の認証に使用される方法はさまざまです。再度、別のIDとパスワードを入力する方法もありますし、指紋などの生体認証を使う方法もあります。

次に二要素認証ですが、二段階認証と違い、認証自体は一回しか行いません。
ただし、その認証には「二つの」認証要素を使用します。先ほどもお伝えしたように、よく使われる認証方法であるユーザーIDとパスワードは、認証要素の一つです。二要素認証の場合、さらにもう一要素の認証を求めます。たとえば、その人本人だけが知っている別の事実の入力や、本人だけが所有している物理的なキー要素を提示するなどです。

二つの違いを門に例えるなら、二段階認証は、最初の門が開いた後に、次の門があるというイメージです。二要素認証は、門は一つなのですが、鍵穴が2つあり、鍵が2本必要なイメージです。

認証のステップを増やすことの重要性

認証のステップを増やすと何が良いのでしょうか。

一段階認証を例に考えてみましょう。一段階の認証にユーザーIDとパスワードの組み合わせという一般的な方法を使っているとします。もし不正アクセスでサイトからユーザーIDとパスワードが盗まれたとしたら、一段階認証の場合、それでアウトです。悪意のある攻撃者は、盗んだユーザーIDとパスワードであなたになりすましてログインすることができるでしょう。

それでは二段階目に、あなたしか知らない言葉を入力する…たとえば愛犬の名前などーという認証ステップを追加したとしましょう。先の攻撃者は、盗んだユーザーIDとパスワードで第一段階の認証は突破しました。しかし、次の質問「愛犬の名前」はわかりません。つまり、結果的に攻撃者はログインできないということになります。

このように、認証のステップを増やすとそれだけセキュリティは堅固なものになります。

日常で用いられる二段階認証・二要素認証の例

二段階認証は、日常的に広く用いられています。たとえば、あるWebサイトへのログインにユーザーIDとパスワードを入力し、それが認証されると、サイトに登録されているメールアドレスにセキュリティコードが記載されたメールが送信され、そのメールのセキュリティコードを再度サイトに入力することで初めてログインできる、といった仕掛けです。
この場合、登録されたメールアドレスを受信できるのはあなた本人だけなので、そこに記載されたセキュリティコードはあなたにしかわかりません。これが二段階目の認証になっているわけです。

また、二要素認証も、実は日常で馴染みの深い例があります。それは銀行のATMです。ATMからお金を引き出すためには、まずキャッシュカードを持っている必要があります。キャッシュカードは通常、本人が持っていますので、これが本人認証の一つ目の要素になります。
そして、暗証番号を入力します。暗証番号も本人だけが知っている番号ですので、これが二つ目の要素になります。

このように、二段階認証、二要素認証とも、名前がそれと知らなくても、日常生活のさまざまな場面で活用されています。

複数の段階や要素を使う認証形態の導入における課題

二段階認証、二要素認証とも良いことずくめのようですが、デメリットもあります。
まず、一段階認証や一要素認証に比べると、認証手順が複雑になります。
ユーザーIDとパスワードだけで認証できる方が、さらに認証手段を求められるより手順は簡単です。
また、SUICAのように持っている人イコール本人という一要素認証だと、二要素認証より遥かに手間が減ります。もしSUICAで駅の改札を通過する時にいちいち暗証番号の入力を求められたらどうなるでしょう?

手順が複雑であるということは、ユーザーに負担を強いるのと同時に、システム構築費用もかさみます。
この辺りは、費用対効果を検討したり、同じ二段階認証、二要素認証でもなるべく手順が複雑にならず、シンプルであり、かつセキュリティ的に堅固な方法を考える必要があるといえるでしょう。

二段階認証、二要素認証は堅固なセキュリティには必須の手法

昨今のセキュリティ事情を見ると、不正アクセスによるユーザーID、パスワードの漏洩は決して珍しい事案ではなくなってきています。こうした状況を鑑みるに、もはや一段階認証、一要素認証では十分にセキュアな環境を提供するのは難しくなってきています。つまりは、堅固なセキュリティが必要な場面では、二段階認証、二要素認証を使うことはもはや当たり前になっていると考えるべきなのです。




お問い合わせ>



当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン


関連するソリューション

セキュリティサービス

セキュリティ製品

関連するナレッジ・コラム

DX関連コラム

2025-04-24

ナレッジコラム

ITサービス管理の新指標~XLAの可能性とは

2025-03-27

ナレッジコラム ITニュース

「異変」を見逃さない!違和感を察知する能力を強化しよう

2025-01-23

セキュリティマネジメント セキュリティ教育 ITニュース

CATEGORY

カテゴリー

RANKING

人気記事ランキング

  1. 使える!データ収集術「ウェブスクレイピング」を伝授します

    2022/11/10 9:00

  2. 生成AIのトレンド「LLM+RAG」を解説

    2024/2/29 9:00

  3. NuitkaでPythonプログラムを配布してみよう

    2022/12/15 9:00

  4. Waymoが日本進出 ~自動運転の未来と可能性

    2025/1/16 9:00

  5. 今日から使えるLLMのプロンプトテクニック

    2023/12/14 9:00