より堅牢な認証を実現する、二要素認証とは何か?

#認証

schedule 2018/04/09  refresh 2024/01/26


 

「認証」の大切さ

コンピュータやスマートデバイスなどを利用する上で、「誰か」を確認する「認証」の重要性は、説明するまでもないでしょう。ほとんどの場合で、他の機器との連携が必要になっています。さらに、そこからつながっている先は、生活圏はもちろん国境すら飛び越え、地球全体となります。

 

この「世界」は、残念ながら性善説を採ることはできません。一見「余分な手間」に思える認証という手続きは、自分が「悪意がある誰か」ではなく、「操作を許された」人物であることを示すことであり、大きな意味を持つことなのです。

 

認証には、アプリケーションなどでは、多くの場合、ユーザーIDとパスワードを対にしたパスワード認証が採用されています。銀行のATMなど、キャッシュカードとPIN(暗証番号)を用いて認証を行うシステムも、使用する機会が多いものです。

 

実はこの2つには、明確な違いがあります。それは、認証に用いる要素が1つなのか、2つなのかです。参考までに、パスワード認証が使用する要素数が1つ、ATMでは使用する要素数が2つとなります。

ここで行っているのは、操作者が誰であるかを知らせ、その上で本人であることの証明のために、パスワードなり暗証番号を入力するという操作です。一見すると、両者に明確な違いがあるとは感じないでしょう。

 

 

認証に用いる3つの要素

実は、認証には、本人であることを示す3つの要素があります。

 

 

まずは「本人のみ知ること」です。例としては、ユーザーIDやそれに対応するパスワード、銀行や証券会社などの口座番号や各種の暗証番号が挙げられます。これはあくまで「本人だけが知っている」という前提で、認証の安全性が成り立つものです。

 

続いては「本人のみ所有するもの」です。キャッシュカードあるいはクレジットカードなどのカード類、各種の会員証などが、代表的な例として挙げられます。この他に、比較的古くから存在するものとしては、乱数表があります。近年では、トークンというワンタイムパスワードを発行する小さなデバイスが用いられることも多くなりました。

 

最後は「本人の特徴・特性」です。これは生体情報を認証に利用するもので、代表的な例として、指紋が挙げられます。その他にも、静脈認証が広く用いられていますし、指紋よりさらに高精度となる虹彩認証、より手軽な顔認証などもあります。

 

 

複数要素を用いた認証の重要性

ここまでの説明でおわかりいただけたかと思いますが、ユーザーIDとパスワードは「本人のみ知ること」で、認証に使われる要素は1つです。ATMの場合は、キャッシュカードが「本人のみ所有するもの」で、暗証番号が「本人のみ知ること」と、2つの要素が認証に使われていることになります。

 

 

また、3つの要素には、長所もあれば短所もあります。たとえば「本人のみ知ること」は、パスワードや暗証番号を第三者に知られてしまうと、認証そのものが意味を失ってしまいます。攻撃者にとってパスワードの入手は、総当たり攻撃などで敷居が下がってもいます。セキュリティ面での脆弱性は、大きくなっているといわざるを得ないのが現状です。

 

「本人のみ所有するもの」は、前者に比較すれば堅牢であるといえます。ただし、手元にその「もの」がなければ、本人確認ができません。紛失・盗難などが起きた際のリスクも、ゼロではありません。

 

「本人の特徴・特性」については、「本人のみ所有するもの」に比較すると、紛失などのおそれがほとんどないことが特長です。使い勝手は良好といえます。不正ログインの可能性はゼロではありませんが、パスワード認証に比較すると、非常に小さいといえます。

 

3つの要素は、それぞれの長所がそれぞれの短所を補完します。認証に複数の要素を取り入れることが、いかに大切かがわかります。

 

 

二要素認証の実際

多くの人にとって、一番身近な二要素認証はATMでしょう。それに次いで身近に感じるのが、ワンタイムパスワード(OTP)を用いた二要素認証です。インターネットバンキングや、オンラインゲームの利用者には、おなじみになっているでしょう。

 

 

OTPの利用方法については、二種類に大別できます。まず、通常のパスワード認証を行い、合致していた場合に、トークンに表示されたOTPを入力させ、そちらの合致をもって認証を完了するいう方法です。

 

もう1つは、ユーザーIDとパスワード、OTPを同時に入力させて、認証を行う方法です。この2つを比べると、前者はユーザーのアクションが2つあり、後者は1つです。いずれも二要素認証ですが、前者は2つの段階を経ていますので、「二段階認証」とも呼ばれます。

 

 

二段階認証は、二要素認証を意味しない

注意すべきなのは、二段階認証と二要素認証は、同じではないということです。二段階認証には、2回のパスワード認証で認証完了とするものがあります。これは「本人のみ知ること」という、単一の要素を2回、使っているだけに過ぎません。

 

つまり、二段階で認証を行ったからといって、それが必ずしも二要素認証であることを意味しません。二段階の単要素認証では、二要素認証ほどの安全性を、得ることはできません。

 

ユーザー認証における安全性確保は、いつの世も変わらない課題といえます。とはいえ、複数要素を組み合わせることで、より堅牢なものにできます。情報技術の進歩は、不正対策の高度化にも大きく貢献しているといえましょう。

 

▼外部リンク
二要素認証ソリューション 日本電気
https://jpn.nec.com/

ネットワークキーワード 二要素認証 日経ネットワーク
http://tech.nikkeibp.co.jp/