現代社会において、もはや正しいパスワードを知っているだけでユーザーにアクセス権限があると考えるのは非常に危険です。
パスワード認証は、既に不正アクセスを防ぐための方法として十分な役割をはたしていません。
これは機密情報をサーバに保存する必要があるためハッキングで情報が流出しやすく、そのうえユーザー・管理側の両者にとっても管理コストが大きくなるためです。
しかし、認証プロセスに2種類の異なる要素を用いる「二要素認証」を活用することで、脆弱なパスワードが盗まれたとしても不正なログインを防ぐことができます。
セキュリティインシデントが増え続ける中でリモートワークを強いられるいまの状況、
もはや二要素認証は最低限必要な防御策です。
ここからは、二要素認証とはどういう仕組みでどういった利点と欠点があるのか、さらに具体的な導入事例まで、隅々まで詳しく解説していきます。
この記事の目次
「二要素認証」と「二段階認証」の違い
インターネットセキュリティも二重鍵を
まず初めに、混同されがちな「二要素認証」と「二段階認証」という言葉の違いについて確認していきます。
二要素認証は2種類のセキュリティ要素を用いた認証
二要素認証には「要素」という文字が入っているように、「2種類のセキュリティ要素」を用いたログイン認証方式のことを指します。
セキュリティの要素には次の3種類があり、二要素認証ではこの内異なる2種類の要素を組み合わせてセキュリティ保護を強化します。
- 知識要素(認証権限のある人だけが知っている情報|例:パスワード・PIN)
- 所持要素(認証権限のある人だけが持っているモノ|例:ICカード・OTPトークン)
- 生体要素(認証権限のある人の身体的特性|例:指紋・虹彩)
例えば最も一般的な二要素認証は、パスワード(知識要素)とSMS認証(所持要素)を組み合わせたもの。
この場合、パスワードを知っており、なおかつSMSを受信できる端末を持っていなければ認証に成功できません。
知識要素だけのセキュリティはハッキング等で簡単に漏洩しますが、遠隔から攻撃するハッカーにとって所持要素を手に入れることは非常に難しいです。
逆に、所持要素に物理的にアクセスできる人間が不正アクセスを試みても、知識要素であるパスワードを知らない限りログインできない、という状態を作れます。
似た意味で「多要素認証」という単語があり、多要素認証は2種類以上、つまり2~3種類のセキュリティ要素で構築する認証を指します。
複数の要素を認証に用いることで、セキュリティ強度を格段に上げるのが二要素認証・多要素認証なのです。
二段階認証は実質的に意味のない言葉
「二要素認証」とよく似た言葉の「二段階認証」。
モバイル決済サービス等の相次ぐ不正ログイン被害で周知されるようになった単語ですが、実はこの言葉に実質的な意味はありません。
二段階認証は、二要素認証のようにセキュリティの要素に注目するのではなく「認証の回数」にだけ注目します。
要素数は単要素(「パスワード(知識要素)」と「秘密の質問(知識要素)」など)の場合もあれば、多要素(「パスワード」と「SMS認証(所持要素)」など)の場合もあります。
つまり、2回に分けて認証さえすれば二段階認証なのです。
しかし、段階を増やすこと自体は、全く意味がないわけではないもののセキュリティ強化にあまり貢献しません。
一つの知識情報が漏洩するシチュエーションでは、もう一つの知識情報も漏洩するリスクが高いからです。
結局のところ要素の数を増やす必要があり、二段階であっても三段階であっても、単要素認証では脆弱なままなのです。
そのため段階を数える必要性は特になく、ITの進んだアメリカ等では「二段階認証」という単語自体がほぼ意味のない言葉として扱われています。
利用したいSaaSで「二段階認証を導入している」という記載を見たときは、段階ではなく要素数をベンダーに確認する必要があるでしょう。
関連記事:「二要素認証・二段階認証の決定的な違いとは?最適な選び方も解説」
二要素認証を導入する大きなメリット・隠れたデメリット
スマートフォンは常に危険にさらされている。ということは、SMSも?
二要素認証を組織へ導入するにあたって、検討のために情報が必要ですよね。
次に、二要素認証導入のメリット・デメリットを見ていきます。
二要素認証のメリット
- セキュリティの強化
最大のメリットは、セキュリティ性の強化です。
どんな形式であれ二要素認証を導入すれば、セキュリティ強度が向上することこそあれ下がることはまずありません。 - 低コストで実装できる
確実にセキュリティ強化につながる方法でありながら、二要素認証を実装するためのコストは年々下がってきています。
現在、二要素認証を実装するためのハードルはそれほど高くありません。 - パスワード管理の煩雑さが緩和
二要素認証を導入することで、冒頭でも書いた煩雑なパスワード管理の必要性が和らぎます。
二要素認証を導入してもパスワード認証を使い続けるケースも多いものの、パスワード変更の頻度を減らして複雑なパスワード設定をする必要性も減ります。
管理側にとってもユーザー側にとっても管理の負担が減るのです。 - サポートコストが減る
パスワード管理の必要性が減るということは、情報管理部門への問い合わせの3割近くを占めるとされるパスワード関連のサポートにかかるコストを減らすことができます。
二要素認証のデメリット
- ログイン時間の増加
ユーザーにとって、プロパティにログインするための手順が一つ増えるため、ログイン認証にかかる時間が増える場合が多いです。
個人レベルではごく短い時間ですが、数十人~数百人の従業員がいる組織レベルで考えると、毎年何百時間といった時間が失われます。
そのため、組織への導入の際は、特にログイン時間の短い二要素認証サービスを選ぶ必要があるのです。 - サードパーティへの依存
二要素認証は通常、サードパーティ製のデバイスやサービスに依存しています。
そのため、例えば認証において誤作動が発生した場合、企業はその復旧等を外部サービスに依存する他ないというリスクがあります。
そのため、信頼できる外部サービスを選択しなければなりません。
国家機関で活用される二要素認証【YubiKey】について詳しく知る - メンテナンスに手間がかかる
二要素認証はパスワード認証に比べて複雑性が増します。これは認証プロセスの可動部分が増え、システム障害が起きる潜在的な原因が増えるという意味でもあります。
そしてセキュリティ管理者はこの状況下で全ての二要素認証デバイス等を管理する必要があります。
高性能のサービスを選び、効率的な管理方法を使わなければ管理プロセスは非常に煩雑になる可能性があるのです。
この問題を解決するには、導入の段階でベンダーや代理店のウェビナーに参加し、導入サポートを受けるのが効果的です。
資料無料ダウンロード:リモートワーク時代に企業が認識すべき情報セキュリティとソリューション
二要素認証の選択肢は非常に多様で、これらはあくまで一般論です。
高いセキュリティ保護に加え、ユーザーの利便性・管理しやすさを損なわないソリューションも存在するので、自社に最適な二要素認証を選び抜くことが重要です。
関連記事:「組織のセキュリティを万全にする二要素認証サービス・製品をタイプ別に比較」
【導入事例】二要素認証サービスの特徴
次は、具体的な二要素認証サービスの特徴につき、認証方法・説明・長所・短所をそれぞれ見ていきます。
SMS・自動電話による二要素認証
認証方法
ID・パスワードを入力した後、SMS・自動電話システムを通じてOTP認証コードを取得し、そのコードを認証画面に入力して認証。
仕組み
最も一般的な形態の二要素認証です。
認証コードの取得がSIMカードに依存するため「所持要素」のセキュリティにあたります。
長所
- 二要素認証の選択肢の中では特に安価
- ユーザビリティが高く手軽に使える
- スマホだけでなくフィーチャーフォンでも使えるため導入しやすい
- モバイルデータに依存しない
短所
- SMSネットワーク自体が根本的に脆弱でハッキングを受けやすい
- 不正なスマホアプリによってOTPを傍受される危険がある
- マルウェア攻撃に非常に脆弱
二要素認証アプリによる二要素認証
認証方法
二要素認証アプリでの認証をサポートするサイトでは、秘密鍵を含むQRコードが表示されます。
このQRコードをスマホにインストールされた認証アプリでスキャンすると、数十秒ごとに変更される6桁のTOTPコードが生成されます。
IDとパスワードに加えて、このTOTPコードを認証画面に入力することで認証が完了します。
仕組み
秘密鍵を使ってローカルで認証コードを生成するアプリケーション・ソフトウェアを使った二要素認証です。
長所
- SMS・自動電話認証よりはるかに安全性が高い
- 認証アプリは無料でダウンロードできるものが多い
- 秘密鍵はQRコードに依存するためユーザーは複数のデバイスでこのコードを使用でき、認証の柔軟性が高い
- スマホがオフラインでも認証できる
- アプリ内ですでに生成されているため、SMSのように受信を待つ必要がない
短所
- フィッシングに対して脆弱で、公開鍵暗号によるハードウェアキーほど安全ではない
- 毎回電話のロックを解除してアプリを開き、コードを入力する必要があるため認証に手間がかかる
- スマホを持っていなければ使えない
- スマホのバッテリーが必要
- スマホの導入・交換に高額なコストがかかる
関連記事:「SMSはもう限界!今すぐ組織に導入できる『二要素認証アプリ』トップ3」
モバイルプッシュ通知による二要素認証
認証方法
ユーザーがアクセスを試みると、ユーザーのスマホにプッシュ通知が送信されます。
ユーザーは記載の情報が正しいことを確認して、通知の要求を承認するだけで認証が完了します。
仕組み
認証コードの代わりにプッシュ通知を送信することで、二要素認証アプリのフィッシングへの脆弱性を克服する認証方法です。
場所・時刻・IPアドレスなど多数のセキュリティレイヤーを追加することでセキュリティ強度を上げ、「通知を承認」だけで認証できる高いユーザビリティが特徴です。
長所
- 二要素認証アプリ安全性が高い
- 非常に使いやすく、認証にかかる時間が短い
- スケーラブルで多数のユーザー保護が簡単、組織で展開しやすい
短所
- 公開鍵暗号によるハードウェアキーほど安全ではない
- ユーザーがIPアドレスやログイン場所などの情報に注意を払わないと、依然不正アクセスを受ける可能性はある
- スマホのバッテリーが必要
- モバイルデータへ依存する
- スマホを持っていなければ使えない
- スマホの導入・交換に高額なコストがかかる
PKIハードウェアキーによる二要素認証
認証方法
IDを入力したのち、認証したいデバイスにハードウェアキーを接続/専用のリーダーにキーを近づけます。
次に指紋認証/PINでキー自体のロックを解除すれば認証できます。
仕組み
PKI(公開鍵暗号基盤)を用いたハードウェアキーによる二要素認証で、USBタイプのドングル型と非接触NFCタイプのカード型が一般的。
指紋認証かPINでキー自体のロックを解除して秘密鍵を取り出し、暗号化された公開鍵と照合することで認証する仕組みです。
機密情報をサーバと共有しないことで情報漏洩の原因を根本的に解決し、最も高いレベルのセキュリティ強度を実現しています。
長所
- 二要素認証の中で最も高いセキュリティ強度
- スマホを使う二要素認証よりも安価に導入可能
- ユーザーフレンドリーで簡単に認証できる
- インターネット接続不要
- バッテリーに依存しない
短所
- 比較的新しいセキュリティのため、全てのサービスで使用できるわけではない
- 物理キーのため、初期に導入費用がかかる
- 保守に費用がかかる
ハードウェア二要素認証キー「YubiKey」で機密情報を守る
ハードウェアキー【YubiKey5】が変える組織の二要素認証
YubiKey5シリーズは北米、EU諸国をはじめ、世界中の企業や政府機関で使用されている
費用対効果が高い二要素認証をお探しですか?
全てにおいて完璧なセキュリティはありませんが、相対的に最も優れた二要素認証を選ぶことはできます。
それが、スウェーデンのYubico社が製造する【YubiKey 5】シリーズです。
YubiKeyは、公開鍵暗号基盤による最も高いセキュリティ強度と高いユーザビリティで、その他多くの二要素認証サービスが抱える問題を解決します。
あらゆるケースで柔軟に使えるユビキタス性
最先端の認証規格「FIDO2」と、他の5つの認証プロトコル(FIDO U2F/スマートカード/OTP/OpenPGP/静的パスワード)をサポート。
USB・Lightning・NFCのフォームファクタへ対応しているため、1本でパソコン、スマホ、ネットワーク、あらゆるオンラインサービスへ簡単かつ極めて安全にアクセスできます。
公開鍵暗号方式を活用するためモバイルデータの使えない環境でも使え、バッテリーの制限も受けません。
「ワンタッチ」で認証できるユーザビリティの高さ
最高レベルの安全性をもちながら、ユーザビリティが非常に高いのがYubiKeyの特徴。
例えばOTP認証の際には、USBを差し込んでワンタッチで即座にコードを生成。クライアントソフトウェアは必要なく、認証プロセスを簡略化できます。
世界各国の政府機関が使用する信頼性
YubiKeyは10000を超える顧客、米国含む各国の政府機関で展開され、世界中で機密情報を保護している、世界で最も信頼のおけるハードウェアキーの一つなのです。
また、厚さ3mmと薄型ながら非常に高い耐久性と防水性能まで備えており、10年単位で使い続けることができます。
鉄壁のセキュリティと使いやすさを両立させた、最も費用対効果の高い二要素認証をYubiKeyで実装してください。
2つのセキュリティ要素を用いて不正アクセスを防ぐ「二要素認証」は、企業がリモート時代を生き抜くために必要不可欠と言っても過言ではありません。
上でも見たように二要素認証はメリットだけではないものの、パスワード認証のみでアカウントを保護する巨大な潜在的リスクとは比較するまでもありません。
YubiKeyで安心かつ快適な二要素認証を導入し、セキュリティリスクに戦々恐々とする日々に別れを告げましょう。
