いまさら聞けない「二要素認証」とは?最近よく聞く「FIDO」についてもおさらい

二要素認証とFIDOの画像

最近よく聞く「二段階認証」と「二要素認証」、呼び方は似ていますがどう使い分ければよいのでしょうか?

両方とも、GoogleやAmazonなど個人で使用するサービスのアカウントや、Salesforceなど仕事で使うサービスのアカウントにログインする際の認証であり、不正ログインを防止するためにより強固な認証を行うためのものであることを前提として覚えておきましょう。

更に、「FIDO(ファイド)」という言葉も聞いたことがあるかも知れません。認証セキュリティの世界的な標準規格団体であるFIDOについても、この記事の後半で纏めています。

どうぞお読みください。

 

二段階認証と二要素認証

 

アカウントセキュリティの重要性を表す画像

アカウントセキュリティの重要性は高まっている

 

インターネットセキュリティが日々進歩している現在においても、ウェブ認証の定番は相変わらずパスワードです。「相変わらず」と書いたのはパスワードによるログイン認証が一般化して既に20年以上経過しているからです。

周知の通り、パスワードは漏洩したり予想されたりしやすく、不正ログインや不正アクセスのニュースは後を絶ちません。

例えば、警察庁が発表した2019年の「不正アクセス禁止法違反による検挙数」816件のうち1/3強の310件が「パスワードの設定・管理の甘さにつけ込んだ手口」によるものでした。

実際の被害件数はこの何倍にも上ると思われます。

パスワードを悪用して不正ログインする手口は大きく分けて三つあります。

 

①パスワードが盗まれる:盗み見られたり、偽のログイン画面に入力してしまったりして盗まれます。
②パスワードを予想される:自分や家族の名前・誕生日などを使用していると簡単に予想されてしまいます。また色々なアカウントに同じパスワードを使用していると、全てに不正ログインされてしまう可能性があります。
③ブルートフォース攻撃:これは「数打ちゃ当たる」的な攻撃です。ログイン画面に文字列をランダムに打ち込むシステムを使って、ログインできるまでやり続けます。「私はロボットではありません」というreCAPTCHA機能を使って防止することができます。

 

パスワードを複雑にすることによってかなりの確率で防止することができますが、複雑なパスワードは本人も使いにくい(忘れてしまう)という難点があります。そこで登場するのが「二段階認証」と「二要素認証」です。

 

二段階認証とは?

 

「二段階認証」とは読んで字のごとく、ログインする際に二段階で認証することです。一段階目はログインパスワード、そして二段階目として、もう一つパスワードを入力したり別の方法で認証することにより、セキュリティを強化します。

以前はログインパスワードを二つ設定して、両方正しいパスワードを入力しないとログインできないという二段階認証が用いられていました。しかし、この方法ではパスワードが両方盗まれてしまうと意味がありません。そこで二段階で、且つ認証方法を変える二要素認証が用いられるようになりました。

 

二要素認証とは?

 

二要素認証とは、二段階で且つ「二要素」、つまりパスワードによる認証に加えて、指紋や虹彩などの生体認証や【Yubikey】のようなセキュリティキーによる認証を行うことです。パスワードによる認証を二回行うだけでは二要素認証にはなりません。つまり二要素による二段階認証が「二要素認証」ということです。

 

\\\こちらもどうぞお読みください///
二要素認証・二段階認証の決定的な違いとは?最適な選び方も解説

 

FIDOアライアンスとは?

 

FIDOのウェブサイトの画像

最近よく聞くFIDO(ファイド)とは?

 

FIDOアライアンス(Fast IDentity Online Alliance)は2012年に誕生した標準規格策定団体で、GAFA・Microsoft・Yahoo等のIT業界のリーディングカンパニーや、VISA、mastercard、三菱UFJ銀行のような金融機関も加盟しています。勿論【Yubico】もこのアライアンスの理事メンバーです。

 

https://fidoalliance.org/members/

 

FIDOアライアンスは、【Yubikey】も採用しているNFC(Near Field Communication=近距離通信)、TPM(Trusted Platform Module=認証保護チップ)や生体認証技術(指紋認証・虹彩認証・骨格認証)などを活用して、パスワードに代わる新しい認証技術「FIDO」を標準規格化しています。

FIDO認証の特徴は、本人確認とサーバ認証を分けており、ネットワークに認証情報を流さずサーバにも保管しないので、パスワードが漏洩するリスクがないことです。例えば【Yubikey】の場合、本人認証情報は【Yubikey】の中に入っています。【Yubikey】で認証を行うと、PKI(公開鍵基盤)により秘密鍵で暗号化した署名をサーバーに送信し、公開鍵で署名を検証することで認証される仕組みになっています。

簡単に言うと、固定されたパスワードがそもそも必要がないので、盗まれたり予想されたりする心配がないということです。不正ログインを完全に防止することができます。

不正ログインによる被害のニュースが毎日のように聞かれる今、情報や資産を守るためにFIDO認証を用いた【Yubikey】によるセキュリティを是非ご検討ください。

 

\\\こちらもどうぞお読みください///
組織のセキュリティを万全にする二要素認証サービス・製品をタイプ別に比較

 

関連記事

  1. 仮想通貨のコールドウォレットとは?メリットと注意点のまとめ
  2. 仮想通貨とHSMの画像

    仮想通貨のセキュリティリスクとは?資産の7割は「HSM」で厳重保…
  3. DreamStudioが生成した『Cyber security』の画像

    企業が気をつけるべき5種類の情報セキュリティインシデント

  4. WordPressの脆弱性|SQLインジェクションとは?対処法も…
  5. テレワークで起こるセキュリティ事故への対策

    テレワークでセキュリティ事故が多発!事例から分かる正しい対策とは…
  6. 二要素認証サービス・製品の比較

    組織のセキュリティを万全にする二要素認証サービス・製品をタイプ別…

  7. .htaccessの設定方法を解説|アクセス制限でWordPre…

  8. Contact form7|送信制限でスパムを排除する方法

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。


Warning: Undefined variable $user_ID in /home/pjla/pj-tc.com/public_html/wp-content/themes/law_tcd031/comments.php on line 156

CAPTCHA


自動翻訳でOK?サイト翻訳の注意点を英語など5言語について解説
  海外でのビジネス展開を考えるにあたって、事業の「顔」とも言えるウェブサ...

人気記事

  1. 「能動的サイバー防御」という言葉を聞いたことがあるかもしれません。日本経済新聞が、20…
  2. テクニカルSEOとは? - コンテンツSEOとの違いも解説テク…
  3. SEOとは?その効果と目的SEO(検索エンジン最適化)は、Go…
  4. NFTゲームのウォレットとは?ホットウォレットとコールドウォレットについて解説した記事の画像
    近年ブロックチェーンゲームやNFTが普及しており、それらを安全に管理するためのウォレッ…
  5. ベトナム進出のメリットとリスクの画像
    日本企業の多くが海外進出をしているなかで、近年特に注目を集…
  6. 新規市場の開拓や生産コスト・人件費の削減、ブランドイメージ…
  7. 近年、海外進出を検討する日本企業から注目度を高めているのが…
  8. 海外でのビジネス展開を考えるにあたって、事業の「顔」とも言…
  9. ChatGPTはプログラム生成ができるいろいろなところで話題に…
  10. Pro Audio JAPANウェブサイト
    Pro Audio JAPANウェブサイトが公開弊社に制作をご…
多言語ウェブサイトとは?|5つの種類と制作のコツをご紹介
グローバル化が進む中、経営者の皆さんは「自社のウェブサイトは日本語だけで本当に良いの...

最新記事

  1. 「能動的サイバー防御」という言葉を聞いたことがあるかもしれません。日本経済新聞が、20…
  2. テクニカルSEOとは? - コンテンツSEOとの違いも解説テク…
  3. SEOとは?その効果と目的SEO(検索エンジン最適化)は、Go…
  4. NFTゲームのウォレットとは?ホットウォレットとコールドウォレットについて解説した記事の画像
    近年ブロックチェーンゲームやNFTが普及しており、それらを安全に管理するためのウォレッ…
  5. ベトナム進出のメリットとリスクの画像
    日本企業の多くが海外進出をしているなかで、近年特に注目を集…
PAGE TOP