2022.4.8

二要素認証
英語表記：Two-factor authentication

この記事をシェア

Webサービスなどで利用するための、2つの認証要素を使用した認証の仕組み

二要素認証（2FA）とは

二要素認証は英語表記では「2 Factor Authentication」、略して「2FA」と呼ばれることもある。認証に利用される要素は「知識要素」、「所有要素」、「生体要素」の3つ。二要素認証とは、これらのうち2つを併用した認証方式のことだ。代表的な例としては、IDとパスワードを入力後、スマートフォン（以下、スマホ）のSMSへ送信されたワンタイムパスワードを入力する、といったものが挙げられる。

知識要素

パスワードや合言葉、秘密の質問などが該当する。「知識」として、本人の頭の中に記憶されることを前提にした要素。

所有要素

スマホやICカード、ドングルなどが該当する。本人のみ「所有」していることを前提にした要素。

生体要素

指紋や虹彩、静脈、顔、声などが該当する。本人の身体的特徴のうち、大きく変化しない特徴を要素として用いる。

近年、インターネットやスマホが普及し、ショッピングや動画視聴、銀行での手続き、証券の売買、双方向のコミュニケーションなど、さまざまな行為がWeb上で可能となった。これらのサービスを利用する際には、会員登録として氏名や住所、メールアドレス、口座情報などといった個人情報を登録するが、仮に本人以外の第三者がなりすましでログインできてしまえば、これらの情報はその第三者が入手できてしまう。

このような不正を防ぐために、認証という行為は存在する。本人以外は持ち得ない情報を事前に登録し、ログイン時に照合することで本人であることを確認するのだ。また、本人であるとの確認がとれたユーザーに対して、そのサービスの利用を認可する。この状態は本人が自らログアウト、あるいはサービス側で設定されているセッション保持の期間を過ぎて強制的にログアウトされることで解除される。

従来、IDとパスワードという知識要素のみで認証することが一般的だった。しかし、パスワードを類推されやすい文字列に設定するユーザーが少なくない。そして、攻撃手法の高度化により、単純なパスワードは解読されてしまうケースが増えるなど、取り巻く環境は大きく変化している。こうした背景もあり、各種Webサービスなどでは二要素認証の導入が進むようになった。

二段階認証との違い

一般的には、二要素認証と似た用語として「二段階認証」の方がよく知られている。混同されがちだが、それぞれの意味は少し異なる。二段階認証はその名のとおり、「認証を二段階に分ける方式」である。例えば、IDとパスワードで認証した後に、秘密の質問を聞くようにするという手続きが用いられるケースもある。この場合、前述の認証の三要素のうち「知識要素」のみを使用しているため、「一要素」での認証となる。従って、この場合は二要素認証ではなく、二段階認証となるのだ。

二段階認証は認証を二段階にすることで、不正ログインのリスク低減を狙う仕組みだ。目的も認証プロセスも近いものだが、知識要素を組み合わせて認証を複数段階にしても、サービスに登録された情報が漏えいしていた場合などは容易にログインできてしまうことになる。そのため、最近では2つの要素を組み合わせた二要素認証とも呼べる仕組みが一般的となっている。

二要素認証と二段階認証の違いを理解していますか？

多要素認証との違い

多要素認証の英語での表記は「Multi-Factor Authentication」、略してMFAとも呼ばれる。認証要素のうち2つ以上の要素を使用する方式で、二要素認証も多要素認証に含まれる。また、実質的に二要素認証を意味して使われることも少なくない。より厳格性を求める場合、「知識要素」、「所有要素」、「生体要素」のすべてを用いるという仕組みも考えられる。ただし、認証導入時のコストだけでなく、認証を行うユーザーの利便性も低下するため、銀行などの金融サービスを除き、ユーザー向けサービスで目にする機会はあまり多くない。