近年はWebサービスのセキュリティ強化のために、二要素認証を採り入れるサービスがどんどん増えています。また、ソーシャルログインを導入するとユーザーはSNSアカウントの二要素認証機能が使えるため、セキュリティ強化と利便性向上を同時に実現できます。では、二要素認証とは何なのか?本記事では知っているようで意外と知らない、二要素認証についてご紹介します。
二要素認証とは?
二要素認証は、Webサービスやシステムへアクセスするにあたり今まで1つの要素だけで認証していたものを、2つの異なる要素を用いて認証するセキュリティ強化の手段です。1つ目の要素として主流なのはアカウントIDとパスワード設定です。ほとんどのWebサービスはアクセスするためにアカウントIDとパスワードの入力を求めます。
一方、二要素認証はそうした今までの認証方法に加えて、異なる要素での認証を同じタイミングで実施します。この点から言えば銀行の預金引き落としでは二要素認証が採用されています。キャッシュカード(本人だけが所持しているもの)とパスワード(本人だけが知っている情報)という2つの要素を組み合わせているので二要素認証です。
ただし、Webサービスにおいてはカードを発行してもセキュリティには繋がらないので、主に以下のような要素を追加して二要素認証を実装しています。
ワンタイムパスワード
ネットバンキングにおける預金引き出しや振り込みなどの際に、トークンを使用してワンタイムパスワードを発行する二要素認証がよく実装されています。ユーザーは通常の認証(アカウントID・パスワード)に加えて、都度発行されるワンタイムパスワードの入力が求められます。たとえアカウントIDとパスワードが流出しても、都度発行されるワンタイムパスワードが分からなければアクセスできないためセキュリティを強化できます。
生体認証
ユーザーの指紋、顔認証など本人だけが持ち得る要素を使った認証方法です。ちなみに虹彩とは眼球中にある膜のことで、指紋のように人それぞれ違ったパターンを持っているため本人の特定に役立ちます。生体認証はカードや鍵のように紛失がありませんし、アカウントIDやパスワードのように流出もしません。大幅なセキュリティ強化に繋がるとして、最先端の端末などにも搭載されています。
二要素認証で注意すべきポイント
二要素認証はセキュリティ強化の有効手段ですが、導入にあたり注意すべきポイントがいくつかあります。
トークン・乱数表などを徹底管理する
二要素認証として信頼性の高いトークンや乱数表ですが、ユーザーがこれを紛失したり盗難されたりしてしまうと、簡単にセキュリティが崩されます。物理的な認証デバイスを提供する際は、ユーザーが十分に注意して所持できるようにするための工夫が大切です。また、乱数表に関しては「どこにいても利用できるように」とスマートフォンで撮影した保存していくユーザーも多いですが、クラウドサービス等に保存すると漏えいの危険性が高いため、そうしたリスクへの配慮も欠かせません。
生体情報漏えいのリスクを考慮する
生体認証は非常に高いセキュリティ性を実現します。しかしながら、生体情報は本人しか持ちえない情報でありながら、同時に本人と切り離せないという特徴があります。たとえばスマートフォンに搭載された指紋認証機能も、寝ている間に指紋を使われれば簡単に不正アクセスされます。また、写真に写っているピースサインから指紋情報がスキャンされた不正の利用される危険性もあるため注意が必要です。生体認証による二要素認証は必ずしも完璧ではありません。生体情報が盗まれるリスクについても十分に考慮しておきましょう。
二要素認証を過大評価しないこと
Webサービスに二要素認証を導入することで、セキュリティを飛躍的に強化できます。しかしながら、二要素認証を過大評価しないことが大切です。セキュリティに100%はなく、二要素認証を導入しているからと過信することが最大のリスクです。管理者やユーザーのセキュリティ意識によって二要素認証の強度は大きく変化します。
二要素認証を面倒だと思わないことが最大のセキュリティ対策
管理者やユーザーのセキュリティ意識によって、二要素認証は強くも弱くもなります。セキュリティ強化を図るために何よりも大切なことは、二要素認証を面倒だと思わずに毎回徹底することです。認証作業が1回2回と増えるごとに毎回のログインが面倒に感じるかもしれませんが、二要素認証は単体認証より明らかにセキュリティが向上します。不正アクセスなどを許さないためには、1人1人が二要素認証を面倒くさがらずに毎回実施することがとても大切です。
まとめ
いかがでしょうか。顧客情報を管理するサービスを提供している事業者にとっては、セキュリティの強化とユーザ利便性は相反するもので、サービスとしてのバランスをどこでとるべきか悩ましポイントでもあります。
インターネットバンキングやEコマースサイトのように金銭に直接関係するサービスの場合は、セキュリティに対するユーザの意識が高く、二要素認証など複数の認証技術を駆使した強固な環境を構築することは、ある意味サービス品質の一つとも言えます。
一方で、ソーシャルネットワークや情報サイトなども、直接金銭に関わることではないものの、各種行動記録やプライバシーに直結する個人情報が保有・蓄積されている場合も多くなっています。
昨今のクラウドサービスでは、相互に連携することでサービス価値やユーザの利便性が高まることもあり、情報の伝達はより複雑になっています。
個人情報管理にはいくつも検討すべきポイントがありますが、ユーザと直接関係し頻繁に行う行為でもあるログイン(ユーザ認証)について、常に見直し検討することが求められます。
自社が提供するサービスを安心して利用していただくために、今後もますますユーザ認証の重要性は高まっていきます。
- カテゴリ:
- ID管理