KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

二要素認証
英語表記:Two-factor authentication

この記事をシェア

Webサービスなどで利用するための、2つの認証要素を使用した認証の仕組み


二要素認証(2FA)とは

二要素認証は英語表記では「2 Factor Authentication」、略して「2FA」と呼ばれることもある。認証に利用される要素は「知識要素」、「所有要素」、「生体要素」の3つ。二要素認証とは、これらのうち2つを併用した認証方式のことだ。代表的な例としては、IDとパスワードを入力後、スマートフォン(以下、スマホ)のSMSへ送信されたワンタイムパスワードを入力する、といったものが挙げられる。

知識要素

パスワードや合言葉、秘密の質問などが該当する。「知識」として、本人の頭の中に記憶されることを前提にした要素。

所有要素

スマホやICカード、ドングルなどが該当する。本人のみ「所有」していることを前提にした要素。

生体要素

指紋や虹彩、静脈、顔、声などが該当する。本人の身体的特徴のうち、大きく変化しない特徴を要素として用いる。

近年、インターネットやスマホが普及し、ショッピングや動画視聴、銀行での手続き、証券の売買、双方向のコミュニケーションなど、さまざまな行為がWeb上で可能となった。これらのサービスを利用する際には、会員登録として氏名や住所、メールアドレス、口座情報などといった個人情報を登録するが、仮に本人以外の第三者がなりすましでログインできてしまえば、これらの情報はその第三者が入手できてしまう。

このような不正を防ぐために、認証という行為は存在する。本人以外は持ち得ない情報を事前に登録し、ログイン時に照合することで本人であることを確認するのだ。また、本人であるとの確認がとれたユーザーに対して、そのサービスの利用を認可する。この状態は本人が自らログアウト、あるいはサービス側で設定されているセッション保持の期間を過ぎて強制的にログアウトされることで解除される。

従来、IDとパスワードという知識要素のみで認証することが一般的だった。しかし、パスワードを類推されやすい文字列に設定するユーザーが少なくない。そして、攻撃手法の高度化により、単純なパスワードは解読されてしまうケースが増えるなど、取り巻く環境は大きく変化している。こうした背景もあり、各種Webサービスなどでは二要素認証の導入が進むようになった。

二段階認証との違い

一般的には、二要素認証と似た用語として「二段階認証」の方がよく知られている。混同されがちだが、それぞれの意味は少し異なる。二段階認証はその名のとおり、「認証を二段階に分ける方式」である。例えば、IDとパスワードで認証した後に、秘密の質問を聞くようにするという手続きが用いられるケースもある。この場合、前述の認証の三要素のうち「知識要素」のみを使用しているため、「一要素」での認証となる。従って、この場合は二要素認証ではなく、二段階認証となるのだ。

二段階認証は認証を二段階にすることで、不正ログインのリスク低減を狙う仕組みだ。目的も認証プロセスも近いものだが、知識要素を組み合わせて認証を複数段階にしても、サービスに登録された情報が漏えいしていた場合などは容易にログインできてしまうことになる。そのため、最近では2つの要素を組み合わせた二要素認証とも呼べる仕組みが一般的となっている。

多要素認証との違い

多要素認証の英語での表記は「Multi-Factor Authentication」、略してMFAとも呼ばれる。認証要素のうち2つ以上の要素を使用する方式で、二要素認証も多要素認証に含まれる。また、実質的に二要素認証を意味して使われることも少なくない。より厳格性を求める場合、「知識要素」、「所有要素」、「生体要素」のすべてを用いるという仕組みも考えられる。ただし、認証導入時のコストだけでなく、認証を行うユーザーの利便性も低下するため、銀行などの金融サービスを除き、ユーザー向けサービスで目にする機会はあまり多くない。

主な二要素認証の方式

二要素認証はインターネットやスマホが使用される以前から活用されている。主な二要素認証には以下のようなものが挙げられる。

1)キャッシュカード/クレジットカード

銀行のキャッシュカードやクレジットカードも実は二要素認証を用いる存在の1つである。カードの暗証番号は本人しか知り得ない「知識要素」であり、カードそのものは本人のみが持つ「所有要素」となる。

2)セキュリティトークン

セキュリティトークンとは暗証番号などの認証情報が記録された機器であり、本人しか持たない「所有要素」である。スティック形式やカード形式で提供され、搭載されたボタンを押すと画面にワンタイムパスワードが表示されるものなどがある。インターネットバンキングの際、セキュリティトークンを使用するケースもある。

3)乱数表

乱数表とは規則性のない文字列が並んだ表のことを指す。インターネットバンキング用として、カード形式で提供されることが多い。乱数表は本人しか持っていない「所有要素」である。「知識要素」であるIDとパスワードで認証した後、画面の指示に沿って乱数表にある文字列を入力することで認証が完了する。

4)SMS/認証アプリ

スマホは本人のみの「所有要素」である。一般的にはスマホへSMS経由で送信されるワンタイムパスワードを入力する。また、SMSを使わずスマホにインストールした「認証アプリ」を使用するケースもある。

5)生体認証

生体認証は指紋、虹彩、顔など本人のみが持つ身体的特徴をデータ化したものである。最近では生体認証に対応したキャッシュカードやATMも存在する。この場合、キャッシュカードという「所有要素」と暗証番号という「知識要素」、そして「生体要素」も加えた多要素認証となり、強固なセキュリティを実現する。

この記事をシェア

情報漏えいのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!