二段階認証は、ソフトウェアやWebサイトにログインする際に、認証の手続きを二回行う手法を指す。近年、パスワードの漏えいや、攻撃者によるパスワード解析により、アカウントが乗っ取られる被害が多く報じられている。二段階で認証を行えば、ひとつの認証手段が破られた場合でも、ふたつ目の認証手段でアカウントを防御できるため、セキュリティの強度が増す。

二段階認証と似た用語として、二要素認証という方法も提唱されている。二要素認証では、ふたつの異なる認証方式を使って本人確認を行うもので、具体的には、以下の3つの認証方式が開発されてきた。

• 記憶情報方式:
  本人が｢知っている｣もの､パスワードや秘密の質問で認証する
• 所持情報方式:
  本人が｢持っている｣もの､スマートフォン（スマホ）やトークンで認証する
• 生体情報方式:
  本人自身､指紋や虹彩で認証する

Googleを始めとするWebサービスやインターネットバンキングでは二段階認証、あるいは二要素認証が実装されているものが多い。パスワード入力の後にスマホにコードが届く、といった仕組みがその代表例となる。第一段階と第二段階で認証の方法を変えることにより安全性が高まるため､最近では実質的に二段階認証と二要素認証はほぼ同義となりつつある｡

増加するビジネスメール詐欺への対抗策としての二段階認証

本人確認を厳格化する二段階認証の考え方は、近年、その被害が増しているビジネスメール詐欺の対策としても期待される。ビジネスメール詐欺とは、経営幹部や取引先になりすましてメールを送り、金銭や機密情報を盗み取る手口のこと。例えば、大手航空会社では2017年に偽の請求書メールに入金してしまい、4億円近い金額を騙しとられた。犯罪者の手口が巧妙化する中、どの企業にとってもビジネスメール詐欺は大きなリスクとなり得る。

こういったビジネスメール詐欺では、攻撃者はメールのみでコミュニケーションを完結させようとする傾向がある。そのため、メール文面を不審に感じた場合には、本人に直接会ったり電話をかけたりすることで、その内容が正しいかどうかを確認できる。いわば、メールと電話（あるいは対面）という2つの段階を経て送信元の本人確認を行うという対応だ。また､金銭に関する変更が伴う場合に､社内での承認プロセスを経ることをルール化するといったことも有効な対策となる｡金銭授受や機密性の高い情報のやりとりを行う場合などにこうした対応を徹底させることで､被害を最小限に防ぐことができる。