スマートフォンの普及やIT技術の発展に伴い、ウェブサービスを利用する機会も増えました。一方で、アカウントのなりすましや不正ログインなどの個人情報を脅かす被害も発生しており、セキュリティ対策は個人・企業ともに重要な課題になっています。
ここでは、セキュリティ強化の手段として有効な二段階認証について詳しく解説します。二段階認証を導入するメリットや種類、導入時の注意点についても紹介しますので、ぜひ参考にしてください。
二段階認証とは?
二段階認証とは、ウェブサイトなどでログインをする際に、二回に分けて認証を行うシステムのことです。ID・パスワード入力のほかに、アプリやトークンなどを使用した認証を追加し、本人確認の段階を二回に分けて行います。ログインIDやパスワードが仮に漏れていたとしても、二段階目の認証でブロックできますので、なりすましや不正ログインの対策として効果的です。
二要素認証との違い
「二段階認証」と似ている言葉に「二要素認証」があります。二要素認証は、認証の段階数に関係なく、3つの認証要素の中から2つを認証に用いる認証方法です。
認証の要素は以下のとおりです。
例えば、ID・パスワードの入力のあとに、さらに指紋での認証を行う場合には、異なる二つの認証要素を組み合わせているため、「二要素認証」になります。
一方で、二段階認証は、認証の要素に関わらず、二段階に分けて行う認証方法を指します。IDとパスワードの入力に加え、同じ知識要素である秘密の質問の答えを入力するのは、二段階認証にあたります。
近年はセキュリティ強化のために、二要素を用いた二段階認証を導入するケースが増えています。例えば、ID・パスワードと秘密の質問の答えでの認証は、二段階認証には該当しますが、同じ知識要素のみを用いた一要素の認証方法です。ログイン情報さえ手にしてしまえばアカウントに入ることは可能な為、認証要素を分散させた場合に比べて、なりすましや不正ログインのリスクは高まります。しかし、二段階目の認証に、指紋や顔を読み取るなどの本人しか持っていない特性を用いれば、たとえ他人がログイン情報を所持していても、アカウントに入ることは難しくなります。
このように、ただ二段階で認証を行うのではなく、異なる認証要素を組み合わせた「二要素認証」にする方が、セキュリティは高まります。
二段階認証のメリット・必要とされている理由とは?
二段階認証の最大のメリットは、二段階認証を用いることで、認証を利用する個人・提供する企業双方のセキュリティを強化できることです。これは、必要とされている理由でもあります。
スマートフォンの普及によって、SNSやネットショッピングなどにログインしサービスを利用する機会も増えました。手軽に様々なサービスを使えるようになった一方で、SNSやネットショッピングのアカウント乗っ取り被害が多発しているのも事実です。簡単なIDやパスワードのみの認証だけでは、あらゆる犯罪リスクに対応できなくなりました。不正ログインやなりすましによる被害を防ぐためにも、二段階認証のようなより強固な認証システムが必要になっています。
また、アカウントの乗っ取り被害を防ぐメリットは、認証を利用する個人だけではありません。顧客の個人情報を抱える企業も、常にサイバー攻撃やハッキングなどによる情報漏洩のリスクにさらされています。万が一情報が洩れることがあれば、顧客への信用問題にもかかわり、場合によっては損害責任も問われる重大な事態になりかねません。企業にとっても、安全性の高いセキュリティシステムの構築が必要不可欠になっているのです。二段階認証、さらにいうと二段階認証と二要素認証と組み合わせて用いることで、一段階の認証よりもセキュリティが高まり、不正ログインやハッキングの対策になります。
二段階認証の種類
二段階認証の方法にはいくつか種類があります。種類によってセキュリティや使いやすさに違いがありますので、確認しましょう。
SMS認証
SMSで携帯電話に認証コードが送信され、指定された画面に入力する方法です。SMS認証は電話番号を取得している携帯さえあれば使用できる為、利便性や導入コストの観点から、多くのサービスで採用されています。たとえIDやパスワードが流出しても、二段階目の認証コードを受信する携帯電話がなければ、セキュリティ突破することはできません。
しかし、偽のSMS認証メールを送って認証コードを入力させることで、認証コードを特定する手口もありますので注意が必要です。また、SMSを使用できない場合や、受信できない環境にいる場合には、SMS認証を使うことはできません。
SMS認証についての詳細は、「SMS認証とは?仕組みやメリット、活用例・導入方法についても解説!」の記事もあわせてご覧ください。
トークンを使用した認証
「セキュリティトークン」というワンタイムパスワードを発行する機器を使う方法です。機器を用いて生成したパスワードを、ユーザーが時間内に入力することで認証を行います。暗号通貨やネットバンク、オンラインゲームなどの決済処理が必要な場面で利用されています。機器に表示されたワンタイムパスワードを入力しない限りログインできない為、他者に不正にログインされるリスクは低い反面、発行手数料が高いなどの問題もあります。
メールや音声通話による認証
メールによる認証では、自分のアドレス宛に送られたワンタイムパスワードや認証コードを入力します。フリーメールで行えばコストも発生しません。ただし、メールアドレスが他者に知られている場合には、ログイン情報が漏洩し、アカウントに入られてしまうリスクがあります。音声通話による認証では、電話の着信時に流れる機械音声による認証コードを確認して入力します。
専用アプリを使った認証
専用のアプリを使用して認証を行う方法です。アプリへの通知が来てログインを許可したり、指紋認証や顔認証などを使用したりと方法は様々です。パソコンに表示されたQRコードをアプリで読み取ってログインするものもあります。
USBなどを使用した認証
USBメモリなどの物理デバイスとサービスのアカウントを紐づけて登録し、認証を行う方法です。デバイスにはUSB端子に接続するタイプやBluetoothで接続するタイプなどがあります。デバイスは基本的に本人しか所持しておらす、デバイスを持っていなければログインできない仕組みです。デバイスの紛失や故障があるとログインに支障をきたしますので、管理を徹底する必要があります。デバイスの購入コストはかかるものの、セキュリティとしてはかなり強固な認証方法になります。
二段階認証の導入事例【SMS・ICカード・物理デバイス、トークン】
二段階認証が活用されている場面の具体例は、以下の通りです。
- ECサイトでクレジットカードを使用する際のSMS認証
- チケット購入時のSMS認証(本人確認で転売防止)
- オンラインサービスやアプリの会員登録やログイン時のSMS認証
- 銀行ATMのログイン時の暗証番号とICチップが埋め込まれたキャッシュカードによる認証
- クラウドサービスのログイン時のアプリ認証
- パソコンへのログイン時の物理デバイス(USBメモリなどのデバイス)を用いた認証
- ネットバンキングログイン時のトークンを使った認証
皆さんも経験したことがある事例が多いでしょう。サービスの内容によって、方法は様々ですが、身近な場で二段階認証が用いられていることがわかります。
二段階認証における注意点
セキュリティ対策に有効な二段階認証ですが、注意点もあります。必要な時にしっかり認証できるように、あらかじめ確認しておきましょう。二段階認証を導入する側の企業は、注意点を確認したうえで、ユーザーが安全に利用できるように対策するようにしましょう。
デバイス本体を紛失すると認証が不可能
SMSやメールでの二段階認証で認証コードが送られる場合、認証コードを受け取る側のデバイスを紛失すると、当然認証もできなくなります。また、たとえデバイスを紛失していなくても、必要な時にデバイスが手元にないと認証はできません。ユーザーの利便性を考慮すると、スマートフォンのように常に持ち運ぶようなデバイスが認証には適しているといえるでしょう。
フィッシング詐欺やウイルスへの対策が必要
近年、偽のECサイトなどのフィッシングサイトを作り、二段階認証の認証コードを入力させることで情報を得る手口が増加しています。特にSMSやメール通知の場合、一見、本物のメッセージと区別がつかず、知らず知らずのうちに個人情報を自ら打ち込んでしまうこともあります。
また、二段階認証を導入することはセキュリティの強化につながりますが、ウイルス自体を処理できるわけではないことを忘れてはなりません。ウイルスによる攻撃を受けるリスクは常にありますので注意しましょう。
スマートフォンの機種変更への対応が必要
スマートフォン端末で二段階認証を行っている場合、機種変更によって二段階認証ができなくなる場合があります。スマートフォンの機種を変更する時は、変更前に二段階認証の設定を解除しておくのを忘れないようにしてください。
二段階認証のセキュリティを高めるためには?
せっかく二段階認証を導入するのであれば、よりセキュリティを強いものにしたいですよね。ここでは、二段階認証のセキュリティを高めるために必要なことをご紹介します。
二段階認証を過信しない
二段階認証を使用していても、セキュリティが完全とは言い切れません。例えば、偽の認証メールでコードを入力させるなどの二段階認証を狙った手口もあります。
二段階認証のセキュリティを強めるためには、二段階目の認証方法のみに目を向けるのではなく、まずは一段階目のパスワードを複雑なものにするのが効果的です。必ず一段階目で入力するIDやパスワードは、単純な文字列や数字にするのではなく、複雑で覚えにくく、他者が簡単には特定できないものにしてください。同じIDやパスワードを使いまわすと、その分漏洩した時のリスクが高まります。パスワードはシステムによって分け、複数のIDやパスワードを使い分けることをおすすめします。
二段階認証を導入する企業は、ユーザーに最低でも10文字以上、英大文字・英小文字・数字・記号を必ず使用するよう注意喚起できると良いでしょう。
また、認証端末を使い分けることも効果的です。一つの端末のみで二段階認証を完結できると、便利で使いやすいでしょう。しかし、端末から情報が漏れると、同時に二段階認証にも影響を与える恐れがあります。少々面倒でも、スマートフォンとパソコンなどの別の端末の二段階認証にして、他者が簡単に認証できない仕組みづくりが大切です。
二段階認証を導入する企業は、二段階認証のセキュリティを高めるために、複雑なパスワード設定や定期的なパスワード変更、認証端末を分けることなどをユーザーに喚起することが必要です。また、二段階認証の方法も、ユーザーが複数の中から選んで(アプリ、メール、電話の中から選ぶなど)使い分けができるように工夫しても良いでしょう。
企業にあった認証を使う
最も一般的な二段階認証としては、SMSによる認証が挙げられますが、生体認証やトークン、物理デバイスを用いた方法もあります。しかし、静脈認証や物理デバイスでの認証の場合には、導入コストや運用に向いたサービスかどうかも検討する必要があります。二段階認証の種類によって、ユーザーの利便性やリスク、実装のしやすさなどは異なりますので、企業・サービスに合った方法を選ぶと良いでしょう。
選んだ認証方法ごとに導入手順は異なりますので、実装の確認をしっかり行い、ミスなく機能するように準備を進めましょう。
「Rakuten CPaaS SMS API」を使って二段階認証を利用しよう!
二段階認証は個人・企業ともに、個人情報を守るために有効な手段です。特にSMSやメールを利用した二段階認証は、ユーザーも利用しやすく、企業側の導入コストもそこまでかかりません。
「Rakuten CPaaS SMS API」サービスは、携帯電話やスマートフォンに、SMS(ショートメッセージサービス)を一括/個別に送信する法人向けサービスです。企業と顧客のコミュニケーションに使われるほか、SMSを利用した二段階認証もできます。国内キャリアと直接接続の回線で、シンプルで使いやすいダッシュボードとAPIを業界最安級の価格でご提供いたします。
SMS認証を用いた二段階認証を導入したい企業は、ぜひ「Rakuten CPaaS SMS API」をご活用ください。