「二要素認証」と「二段階認証」。
この2つの言葉は字面こそ似ていますが、その定義、セキュリティ対策における価値はまるで異なります。
2019年末から新型コロナウイルス流行の影響でリモートワークが急激に普及したことで、セキュリティ強化の必要性は高まる一方です。
実際、IPAが発表した「情報セキュリティ10大脅威 2021」によると、対組織の脅威として「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインしています。
確実にセキュリティ強度を上げるためには、二要素認証と二段階認証の定義の違いは明確に理解しておくことが不可欠。
ここからは、二要素認証・二段階認証、それぞれの定義やセキュリティ強度の違い、貴社に最適な認証システムの選び方まで詳しく見ていきましょう。
この記事の目次
二要素認証・二段階認証のセキュリティ強度の基本は「認証の3要素」
まず、二段階認証と二要素認証を明確に区別するためにも、認証強度の指標になるセキュリティの基本要素を理解しておきましょう。
そもそも「認証」とは、システム・サービスへのアクセスを試みている対象が、その利用権限を持っているかどうかを判別することです。
そして、その認証のために使われるのが「知識要素」「所有物要素」「生体要素」という3つの要素。
これら3要素は、あらゆるセキュリティで共通して用いられています。
「知識要素」による認証
知識要素とは、「パスワード」や「PIN」、「秘密の質問」に代表される、人間が記憶している情報のことを指します。
知識要素を使った認証では、権限を持つ人しか知らないはずの情報を入力することによってアクセス権限を証明します。
データに残さず知識として頭の中にのみ持っている場合、複製されにくい一方、忘れてしまうリスクがあります。
また、知識要素単体での認証はフィッシング被害に遭いやすいことも問題です。
「所持要素」による認証
所持要素とは、認証情報を取得するために必要な「モノ」のこと。
所持要素による認証では、物理的なモノを持っていることによって認証情報を取得でき、認証が可能になります。
例えば「キャッシュカード」や「ICカード」、「アプリ認証」や「ワンタイムパスワードトークン」など。
ただ注意が必要なのは、OTP(ワンタイムパスワード)認証は「所有要素」「知識要素」のどちらにもなり得る点です。
そのOTPがどちらの要素にカテゴライズされるかは「送られてくる認証情報がモノに依存しているかどうか」で考えます。
例えばSMS・キャリアメール経由での認証は、認証情報が届くのはそのデバイスのみです。物理OTPトークンも、そのトークンがなければ認証情報を得られません。
これらは認証情報がモノに依存しており、その所有者でなければ認証要素が得られないため「所持要素」にカテゴライズされます。
一方でWEBメール経由でのOTP認証は、アカウントにログインさえできれば別のデバイスでも認証情報を取得できるため「知識要素」による認証なのです。
ちなみに、所持要素にはその種類によってセキュリティレベルが大きく異なります。
物理トークンは盗まれさえしなければ複製は難しいためセキュリティ強度が高いですが、磁気カードは盗まれなくてもスキミングで情報を取得される可能性があります。
「生体要素」による認証
生体要素とは、アクセス権限を持つ人物の身体的な特徴・固有性のこと。
例えば、指紋や音声、虹彩、顔、静脈などが挙げられます。
生体要素による認証は、事前に自分の体の一部をデジタル情報に置き換えておき、その情報との一致によってアクセス権限を証明します。
代表的なのは、スマートフォンの「指紋認証」機能です。
ちなみに、認証を試みる場所・時刻での認証も生体認証に含まれます。
ただし位置や時刻では本人特定には至らないため、補助的要素としてのみ使われます。
生体認証は非常に信頼度の高い認証で、特に指紋や虹彩などは高度な技術でなければ複製されにくく、全体的に盗み見や盗聴がされにくいです。
また、所有要素とは異なり紛失のリスクもありません。
ただ一方で、読み取り装置の精度が悪いと誤認識が多くなる点には注意が必要です。
二要素認証と二段階認証の定義とは?
ここからは、二要素認証と二段階認証について、具体的な定義を見ていきましょう。
「二要素認証」とは3要素のうち2つの要素を使う認証方式
二要素認証とは、上で見た「認証の3要素」の内、異なる2種類の要素を用いて認証する方式です。
一般的なのは「知識認証+所有物認証」もしくは「知識認証+生体認証」の組み合わせ。
例えば、ATMを利用する際、重要な取引にはキャッシュカードと暗証番号が必要ですよね。
キャッシュカードは所有要素、暗証番号は知識要素なので、こちらも二要素認証です。
OTP認証も、認証情報の取得がモノに依存している場合は所有要素となり、知識要素であるID・パスワードと組み合わせることで二要素認証となります。
ちなみに、要素を2~3種類用いる認証方式は「多要素認証」とも呼ばれます。
つまり、二要素認証の定義は多要素認証の定義に包含されるのです。
逆に、要素を一つしか使わない認証方式は「単要素認証」と呼ばれます。
「二段階認証」とは本人確認を2ステップに分けて行う認証方式
二段階認証とは、認証プロセスを2段階に分けておこなう方式。
例えば、1段階目の認証画面でIDとパスワードを入力することで2段階目の認証画面が表示され、そこにOTPを入力することでアクセス権限を確認するような場合です。
ここからは、この2種類の認証方式の違い、どちらの方式がより強固なセキュリティをもたらすのかについて詳しく見ていきましょう。
二要素認証と二段階認証の違いは「要素数」「回数」のどちらを数えるか
ここまで二要素認証と二段階認証、2つの認証方法について見てきました。
どちらの認証方式も、パスワード認証だけの保護では情報漏洩が相次いだことで、セキュリティ強度を上げるために生まれた認証方式です。
しかし、この2つには「認証の要素数」を基準にするか「認証の回数」を基準にするか、という決定的な違いがあります。
セキュリティ強化には「認証の要素数」を増やす必要がある
まず、認証時のセキュリティ強度を見るうえで重要なのは「認証要素の数」で「段階の数」ではありません。
段階を増やしてもセキュリティ強度が上がらない理由は、ハッカー側の視点から考えてみると理解しやすいです。
知識要素のみの単要素認証では、例え2段階に分かれていたとしても、ハッカーは知識要素情報のみを盗めば認証できます。
そもそもサイバー攻撃を許してしまった時点で、2つの知識要素が同時に流出する可能性は十分に考えられますよね。
しかし、認証要素が複数ある場合は違います。
例えば認証のために知識要素に加えて物理トークンが必要な場合、ハッカーは知識情報だけでなく、あなたが所持するデバイスも取得しなければ認証できません。
つまり要素を増やすことでこそ、セキュリティ強度を向上できるのです。
単要素の二段階認証はセキュリティ強化に貢献しない
この点、二段階認証は要素の数を考えません。
単要素でも多要素でも、認証を2回に分けさえすれば二段階認証と呼びます。
しかし上で見たように、回数を増やしたとしても認証要素が1つだけではセキュリティ強度向上には貢献しません。
結局のところ、強度を上げるためには「複数の要素」を使った認証方式を選ぶ必要があるのです。
もちろん「二段階」かつ「二要素」を使った認証方式を「二段階認証」と呼ぶ場合もあるのですが、認証の回数は1回でも2回でも基本的に関係ありません。
つまりセキュリティ対策を選ぶ上では「要素数」だけに注目すれば事足り、認証の回数は基本的に問題にならないのです。
そのため、「二段階認証」という単語自体、あまり実用的な意味を持たないと言えます。
会社の情報を守り抜く二要素認証セキュリティの選び方
このように、セキュリティを強化する上では二要素認証であることがとても重要です。
とはいえ、二要素認証にも多数の種類があります。
そこでここからは、貴社に最適な二要素認証セキュリティの選び方について見ていきましょう。
もっとも強固で低コストな二要素認証は「物理セキュリティキー」
セキュリティを選ぶうえで重要なのは「強固」なことと「コストがかからない」こと。
二要素認証を導入する場合、「SMS認証」もしくは「認証アプリ」が一般的です。
ただ、この2つの認証方式には無視できないデメリットがあります。
まず「SMS認証」は非常に大きな脆弱性を抱えており、頻繁に情報の漏洩が起きています。
これは不正なスマホアプリをインストールした際に「SMSへのアクセス権限」を許可してしまったり、フィッシング等により発生します。
そのため、会社の重要な個人情報を任せるセキュリティとしてSMS認証を利用するのは危険です。
「Google認証システム」に代表される認証アプリは、簡単にセッティング出来て非常に強固なセキュリティをもたらします。
関連記事:SMSはもう限界!今すぐ組織に導入できる『二要素認証アプリ』トップ3
しかしフィッシングに対して若干脆弱な面があるほか、認証のたびにデバイスを取り出してアプリを開く必要があるため時間がかかり、従業員の生産性を下げる要因になります。
また、セキュリティ管理者は頻繁に入れ替わる社員全員のデバイスにビジネスアプリをインストールして2FAコードの移行などサポートが必要になり、ITコストが膨大に。
さらにSMS認証であれアプリ認証であれ、スマホなどのデバイスを用いる場合は常に充電や電波の制限を受けてしまいます。
充電切れ等の理由でデバイスが使えなくなっただけでプロパティへのアクセスが一切不可能になってしまう点もリスクです。
こういった問題点を解決できるのが「物理セキュリティキー」です。
\\\YubiKeyの製品情報・購入方法は、セキュリティ製品専門ページを御覧ください///
YubiKey
物理セキュリティキー【YubiKey】なら鉄壁の二要素認証をワンタッチで実現
YubiKeyは、低コストで非常に強固な二要素認証をもたらす、最新の多要素認証セキュリティキーです。
認証データ等の機密情報をサーバと共有しないことで、上で見た「SMS認証」や「認証アプリ」で情報漏洩が起きる原因を根本的に解決しています。
この長さ4.5cmの物理キーにはあらゆる認証方式が凝縮されており、世界最高峰のセキュリティを簡単に実現できるのです。
また、Microsoft・Google・Dropbox・Salesforce等あらゆるアプリ・サービスに対応しており、Google等トップクラスのIT企業を含む4000以上の事業、各国の政府機関でも活用されています。
YubiKeyの使い方は非常に簡単。USBポートに挿してタッチするだけです。
もちろん管理者側は様々な設定が可能ですが、利用者側は「挿し込む」「タッチ」という二つの動作だけで認証ができます。
この場合、認証にかかる時間はGoogle認証システムの【4分の1】。ストレスをかけないスムーズな認証が、従業員の生産性を保ちます。
管理も非常に簡単で、セキュリティ管理者の目が届きにくいリモートワークにも最適。
YubiKeyを導入したことで、セキュリティサポートのコストが92%減少した実績もあるほどです。
鉄壁のセキュリティと大幅なコスト削減を同時にもたらすYubiKeyを、いますぐ導入してみてください!
\\\YubiKeyの製品情報・購入方法は、セキュリティ製品専門ページを御覧ください///
YubiKey
セキュリティ強度を上げるうえで重要なのは、認証要素の数です。
そのため「二段階認証」のセキュリティソリューションの導入を検討する際は、その「二段階」に2種類の要素が使われているかに注目する必要があります。
二段階認証であることそれ自体はあまりセキュリティ向上の意味を持多ない点には注意しましょう。
数ある二要素認証の中でも、特に強固なセキュリティと高いコストパフォーマンスを併せ持つのがYubiKeyです。
機密情報漏洩のリスクを格段に下げるために、YubiKeyを活用してみてはいかがでしょうか。