スマートフォン決済サービス「7pay」不正アクセス問題と併せて耳にすることが増えた「二段階認証」。同事案についての説明は省くが、認証について改めて考えるきっかけを与えてくれたことは間違いない。特に今後、スマートフォンを使ったキャッシュレス決済が一般化したとき、こうした「本人であること」を証明する技術への知識が不足すると思いがけないリスクを抱える可能性もある。そこで本稿では、二段階認証と、類似の概念と思われやすい「二要素認証」(または多要素認証)の違いやそれぞれのリスク、対策技術の例を見ていく。
IT分野における認証とは、コンピュータやサービスを利用する際に対象の本人性や真正性を確認するための行為を意味する。ログイン時のID/パスワード入力が代表例だ。IDはユーザーを表す識別情報で、例えば自分の名前やメールアドレス、エイリアスなどを使うことが多い。一方のパスワードは、IDの持ち主が本当に本人であるのかを証明するための情報で、IDの登録と一緒に設定する。
認証は、一般的に3つの要素を用いた方式がある。
(1)知識認証とは、IDの持ち主のみが知っている/記憶している情報を用いた認証を指す。パスワードやPINコード、スマートフォンでよく使われるパターン認証などが該当する。(2)所有物認証は、本人のみが所有する「物」を使った認証で、パスワードを生成するハードウェアのセキュリティトークン、ソフトウェアを購入した際に付帯するライセンス番号などを指す。(3)生体認証は、指紋や顔など、本人の身体的特徴を利用した認証だ。
大半のサービスは、IDとパスワードの知識認証のみか、さらにもう1つ認証方式を追加するか、ユーザー自身が追加可能な方法でセキュリティ強化を図っている。だが、ここで留意すべきは、2つ目の認証が「何」かだ。つまり二段階認証なのか、それとも二要素認証なのかだ。
二段階認証は、2つの段階を経て本人確認を行う認証を意味する。このとき、認証に使う「要素」は1つだ。例えば、IDとパスワードを入力後(知識認証)、本人確認のために秘密の質問の入力(知識認証)を求めるようなものは全て二段階認証だ。
一方の二要素認証は、上記(1)〜(3)に挙げた認証の要素3つのうち、2つを組み合わせる認証を指す。例えばオンラインバンキングの認証をイメージすると分かりやすいだろう。IDとパスワードを入力(知識認証)した後で、事前に郵送されたハードウェアトークンで生成したワンタイムパスワードを入力する(所有物認証)ようなものが該当する。ちなみにクレジットカードの裏に書かれたCVC(カード確認コード)は、あくまでも使用するカードが本物かどうかを「確認」するための作業であり、認証作業としてカウントされるものではない。
ここまで見ても、二段階認証でも問題ないように見えるかもしれない。だが例えば「IDとパスワード」+「秘密の質問」の組み合わせを考えたとき、認証としては比較的弱い可能性がある。その理由は次の通りだ。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。