二段階認証と二要素認証、何が違い、どう危ない？ 二段階認証が安全と言い切れない理由と最新の対策

二段階認証と二要素認証の違いを説明できるだろうか。よく分からないままでは思わぬ攻撃を受ける可能性がある。両者の違いと想定されるリスク、最新の認証技術がどうなっているかを整理する。

[谷崎朋子，キーマンズネット]

目次

• オンライン取引で「本人であること」はどう証明できるか、認証の意味と種類
• 二段階認証と二要素認証、何が違う？　安全性に違いはあるのか
• 二段階認証、本当は一段階の可能性も？　決済に二要素認証が必須なワケ
• 決済じゃなくても心配、業務アプリの認証に潜むリスクを解消するヒント
• 世の中からパスワードは消えるべき、“ユーザーに意識させず認証”は可能か

オンライン取引で「本人であること」はどう証明できるか、認証の意味と種類

　スマートフォン決済サービス「7pay」不正アクセス問題と併せて耳にすることが増えた「二段階認証」。同事案についての説明は省くが、認証について改めて考えるきっかけを与えてくれたことは間違いない。特に今後、スマートフォンを使ったキャッシュレス決済が一般化したとき、こうした「本人であること」を証明する技術への知識が不足すると思いがけないリスクを抱える可能性もある。そこで本稿では、二段階認証と、類似の概念と思われやすい「二要素認証」（または多要素認証）の違いやそれぞれのリスク、対策技術の例を見ていく。

　IT分野における認証とは、コンピュータやサービスを利用する際に対象の本人性や真正性を確認するための行為を意味する。ログイン時のID/パスワード入力が代表例だ。IDはユーザーを表す識別情報で、例えば自分の名前やメールアドレス、エイリアスなどを使うことが多い。一方のパスワードは、IDの持ち主が本当に本人であるのかを証明するための情報で、IDの登録と一緒に設定する。

　認証は、一般的に3つの要素を用いた方式がある。

1. 知識認証
2. 所有物認証
3. 生体認証

　（1）知識認証とは、IDの持ち主のみが知っている／記憶している情報を用いた認証を指す。パスワードやPINコード、スマートフォンでよく使われるパターン認証などが該当する。（2）所有物認証は、本人のみが所有する「物」を使った認証で、パスワードを生成するハードウェアのセキュリティトークン、ソフトウェアを購入した際に付帯するライセンス番号などを指す。（3）生体認証は、指紋や顔など、本人の身体的特徴を利用した認証だ。

「多要素認証とは」と題したスライド　本人であることを証明するための認証方式を整理する（EMCジャパン RSA事業本部提供）

　大半のサービスは、IDとパスワードの知識認証のみか、さらにもう1つ認証方式を追加するか、ユーザー自身が追加可能な方法でセキュリティ強化を図っている。だが、ここで留意すべきは、2つ目の認証が「何」かだ。つまり二段階認証なのか、それとも二要素認証なのかだ。

一緒に読みたい「認証の課題と解決策」

• 絶対に理解できる「FIDO」の話　パスワードの弱点を克服する認証
• FIDO2普及元年、脱パスワードで変わる認証システム
• 何もしないで本人認証できる「ライフスタイル認証」とは？

二段階認証と二要素認証、何が違う？　安全性に違いはあるのか

　二段階認証は、2つの段階を経て本人確認を行う認証を意味する。このとき、認証に使う「要素」は1つだ。例えば、IDとパスワードを入力後（知識認証）、本人確認のために秘密の質問の入力（知識認証）を求めるようなものは全て二段階認証だ。

　一方の二要素認証は、上記（1）〜（3）に挙げた認証の要素3つのうち、2つを組み合わせる認証を指す。例えばオンラインバンキングの認証をイメージすると分かりやすいだろう。IDとパスワードを入力（知識認証）した後で、事前に郵送されたハードウェアトークンで生成したワンタイムパスワードを入力する（所有物認証）ようなものが該当する。ちなみにクレジットカードの裏に書かれたCVC（カード確認コード）は、あくまでも使用するカードが本物かどうかを「確認」するための作業であり、認証作業としてカウントされるものではない。

二段階認証、本当は一段階の可能性も？　決済に二要素認証が必須なワケ

　ここまで見ても、二段階認証でも問題ないように見えるかもしれない。だが例えば「IDとパスワード」＋「秘密の質問」の組み合わせを考えたとき、認証としては比較的弱い可能性がある。その理由は次の通りだ。