PJ-T&C合同会社

 

「41億件」

これは、主に脆弱なセキュリティが原因で2019年の前半6か月間で盗まれた情報の数です。

コロナ禍が始まる前にもかかわらず、前年2018年の同時点と比べて50%以上も増加しています。

こういった不正アクセス被害の急激な増加に影響され、最近は二要素認証の製品を導入する企業が増えてきています。

機密情報漏洩はクライアントからの信頼を失うほか、多額の損害賠償を請求される可能性も高く、一度でも起きると取り返しがつきません。

そのリスクから会社を守るため、強固な二要素認証セキュリティはもはや必須です。

そこでここからは、既存のパスワードに認証に追加することでアカウント保護を強化できる、二要素認証サービス・製品の特徴について比較しながら見ていきましょう。

 

二要素認証の製品は「認証の三要素」のうち2種類を使う認証方式

 

まず、二要素認証について基本的な内容に触れておきましょう。

 

セキュリティの基本：認証の三要素

 

認証に用いる要素には大きく分けて3種類あり、そのうち2つを用いて本人確認をすることから「二要素」認証と呼ばれます。具体的には「知識要素」「所持要素」「生体要素」の3つです。

• 知識要素による認証
  人間が記憶している情報を用いて認証する方法です。
  「パスワード」や「PIN」「秘密の質問」に代表される、アクセス権限を持つ人しか知らない（はずの）情報を入力することでアクセス権限を証明します。

• 所持要素による認証
  物理的な「モノ」を用いて認証する方法です。
  例えば物理トークンや認証デバイスなど、認証情報の取得をモノに依存させることで、モノを所持している人間でなければアクセス権限を証明できない状態を作ります。

• 生体要素による認証
  人間の身体的固有性をデジタル情報に置き換えておき、その情報と一致させることで認証する方式です。最も一般的なのはスマホの指紋認証がでしょう。
  身体情報の複製は現代の技術では容易でないうえ、所有要素と違って紛失のリスクが無いため非常に信頼度が高いです。

複数の要素を用いた認証システムにすることで、セキュリティの強度は跳ね上がります。

例えば「パスワード＋物理トークン」の二要素認証であれば、たとえハッカーがパスワードの不正取得に成功しても、物理的にトークンを所持していない限り認証は不可能です。

似た言葉に要素ではなく認証の段階を増やす「二段階認証」という単語もありますが、段階を増やすだけではあまりセキュリティ強化に貢献しない点に注意しましょう。

関連記事：「二要素認証・二段階認証の決定的な違いとは？最適な選び方も解説」

 

タイプ別に解説！二要素認証の製品・サービス一覧

 

次に、ID・パスワードに追加で使えて二要素認証を展開できるサービス・製品の特徴を見ていきましょう。

生体要素による認証は初期の導入コストがかかりすぎるため、セキュリティへ「所持要素」を追加するタイプに限定しています。

 

「SMS・自動電話」による二要素認証サービス・製品

 

SMS・自動電話システムを通じたOTP（One-Time Password）取得による二要素認証は最も広く使用されています。

これは、ID・パスワードを入力した後、ユーザーの携帯電話番号にSMSテキスト／自動電話で1回限り使用できるOTPを取得し、認証画面にコードを入力することで認証する方式です。

 

メリット

 

• ユーザビリティが高い
  ユーザーの携帯電話に確認コードを送信するだけです。コードを入力するだけで、あなたの情報にアクセスできます。

• 導入が簡単
  多くの人がSMS対応の電話番号を持っているため導入が簡単で、アプリのインストールも不要です。

• データに依存しない
  SMSを介して行われるためモバイルデータに関係なく、フィーチャーフォンを使用している場合でも利用できます。

 

デメリット

 

• 個人情報の問題がある
  ユーザーは、自分の電話番号を特定のサイトやプラットフォームに開示する必要があります。
  プライバシーの問題はもちろん、特に深刻なのはそのサイトにパスワードのリセット許可を与えてしまうケース。この場合、ハッカーに不正アクセスされるリスクが非常に高くなります。

• SMS・電話を受信できる環境が必須
  電話・SIMが紛失または破損している場合やネットワークにアクセスできない場合、セキュリティコードを受信できなくなります。

• 二要素認証の中では特に脆弱
  SMS・電話を用いた二要素認証は、他の製品に比べて安全性は高くありません。
  例えば、不正なスマホアプリのインストール時に「SMSへのアクセス権限」を要求される場合があり、これを承認してしまうと、届いたOTPもハッカーに筒抜けになってしまいます。
  
  また、SMS・電話ネットワークは何十年も大きな改変なく利用されているため脆弱で、このネットワーク自体に不正アクセスされるケースもあるので注意が必要です。
•  

「ソフトウェア／アプリ」による二要素認証サービス・製品

 

このようなSMS・電話認証の脆弱性を踏まえて、最近普及し始めているのがソフトウェア／アプリケーションを用いたTOTP（Time-based One-Time Password）による二要素認証です。

認証コードを生成するアプリをPCまたはスマートフォンにインストールすることで、デバイス自体が所持要素を満たす物理トークンとして機能します。

通常、ユーザーは認証アプリの入ったモバイルでTOTPを生成するQRコードをスキャンし、生成された数字を認証画面に入力することでアクセス権限を証明します。
生成されたTOTPは30～60秒で有効期限が切れるため、通常のOTPと比べて安全です。

 

メリット

 

• 実装が簡単
  現代ではスマートフォンは広く普及しているため、従業員のデバイスにアプリをインストールするだけで展開できます。

• 素早く確実な認証
  TOTPはアプリ内で自動生成されるため、SMS等でパスコードの受信を待つ必要はありません。

• モバイルネットワークへの接続が不要
  秘密鍵がアプリでローカルに保存されているためモバイルがネットワークに接続していない状態でも使用できます。

• 柔軟性
  SMS・電話認証とは異なり、TOTPの生成はQRコードに依存するため、QRコードさえ入手できればユーザーは複数デバイスから認証が可能です。
  
  また、Authyなど一部の認証アプリは、スマートフォンとPCの両方で機能するため、スマートフォンを紛失した場合でも、PCアプリを使用してTOTPを取得できます。

デメリット

 

• スマートフォンが必要
  ガラケー等フィーチャーフォンでは使用できません。

• 複数デバイスで認証する物理的リスク
  複数デバイスから認証できる機能は便利ですが、裏返すと、紛失するリスクや物理的な侵害を受ける可能性が高くなります。

• 復帰が難しい
  強固なセキュリティを提供する一方で、モバイルが故障・紛失してしまった場合、アカウントへのアクセス復帰が非常に難しくなります。

関連記事：「SMSはもう限界！今すぐ組織に導入できる『二要素認証アプリ』トップ3」

 

「モバイルプッシュ」による二要素認証サービス・製品

 

認証アプリによるTOTPは強固ですが、認証のためにコードを入力する手間がかかります。

これを改善するのが、モバイルプッシュ通知を活用した二要素認証です。

ID・パスワードの入力後、アカウントに関連付けられたモバイルに「プッシュ通知」としてアクセス要求が送信され、これを承認するだけで権限を証明できます。

 

メリット

 

• フィッシングへの強固なセキュリティ
  この形式の二要素認証は、認証コードをプッシュ通知に置き換えることで、フィッシングに対する脆弱性を克服します。プッシュ通知を侵害するのは非常に難しく、OTP／TOTPを盗むよりはるかに高度な技術が必要です。

• 高いユーザビリティ
  ユーザーはモバイルに届いた通知を承認するだけでアカウントにアクセスできます。OTPやTOTPのようにコードを入力する手間がかかりません。

 

デメリット

 

• スマートフォンが必要
  ガラケー等フィーチャーフォンでは使用できません。

• データアクセスへの依存
  モバイルネットワークを介して通知を送信するため、認証のためにはインターネットへのアクセスが必須です。

• サポート範囲の狭さ
  プッシュ通知を用いた二要素認証は、プッシュ認証をサポートする限られたサービスでしか使用できません。

 

「ハードウェアキー」を使った二要素認証サービス・製品

 

ユーザビリティでいえばモバイルプッシュによる二要素認証が最も優秀ですが、安全面では少しリスクが残ります

技術的に高難度とはいえ、偽のプッシュ通知をユーザーに送信するのは不可能ではありません。実際、こういった新手の不正アクセス攻撃は徐々に増えています。

ハードウェアキーには様々な種類がありますが、特にPKI（公開鍵暗号基盤）を活用したタイプは、プッシュ認証よりも強固な二要素認証を提供します。

機密情報をサーバと共有しないことで、情報漏洩の原因を根本的に解決できるためです。

 

メリット

 

• 特別に安全性が高い
  二要素認証製品の中で、最も高い安全性を提供します。

• 高いユーザビリティ
  ハードウェアキーの使用手順は非常にシンプルで、従業員に技術的な知識が無い状態でも簡単に使用できます。

• 低価格で実装できる
  従業員向けに認証用スマホを準備するよりも、大幅に安価に展開できます。

• インターネット接続・バッテリーに依存しない

• 1つのキーで多くのサービスにログイン可能

 

デメリット

 

• 紛失しやすい
  デバイスは小型のものが多く、社員証に結んでおく等の対処をしない限り、置き忘れや紛失してしまう可能性があります。

 

二要素認証の中で最も強固・利便性の高い製品は？

 

二要素認証の製品を選ぶ場合、セキュリティ管理側としては不正アクセスを確実に防ぐ強固さと、長期的なコスト負担が少ない事が最重要です。

しかし、セキュリティ強度を上げるために認証プロセスが複雑になると利便性が犠牲になり、エンドユーザーから反発を受けるケースも少なくありません。

この問題のソリューションになる製品が【YubiKey 5】シリーズの二要素認証です。

YubiKey 5シリーズはドングル型ハードウェアキーで、数ある二要素認証サービス・製品の中で最も強固なセキュリティ強度を実現します。

また、1本であらゆる環境であらゆる認証方式を展開できるのが特徴です。

PKIを用いた最新技術FIDO2を搭載し、OTPやPIVなどその他多数の認証プロトコルもサポート。

各USBタイプやLightning、NFCのフォームファクタに対応しているため、1本につき数千円の物理デバイスを購入するだけで既存の環境に最先端のセキュリティを導入できます。

社外デバイス使用のニーズがあるリモートワークにも最適なうえ、将来的に組織のIT環境が変わっても使い続けることができます。

Yubikeyについてもっと詳しく知る＞

まずは1本から：最安値でYubiKey5を導入してみる＞

二要素認証を実現するための製品として「SMS・自動電話」「ソフトウェア／アプリケーション」「モバイルプッシュ」「ハードウェアキー」の4種類を見てきました。

SMS認証は実装しやすいですが、二要素認証の中ではかなり脆弱。

その他3タイプの製品はどれも非常に安全性が高いため、高度化する不正アクセスに対抗するにはその中からソリューションを選ぶ必要があります。

さらにこの中でも最もセキュリティが強固で、あらゆる環境で即座に展開できるのがハードウェアキーのYubiKey 5シリーズです。

YubiKey 5シリーズを導入してセキュリティを大幅強化し、企業の機密情報を確実に保護しましょう。