もう面倒とは言えない二段階認証の基本、二要素認証との違い

Image

Webサービスなどを利用するためにIDやパスワードを設定することは、多くの方々が以前から当たり前のように行ってきたことと思います。

近年はスマートフォンの普及もあって、決済サービスやSNSなど多様なサービスを利用する機会が増加しており、それに伴ってIDとパスワードの組み合わせの他に別の情報を入力する二段階認証を多く見かけるようになりました。

しかし、入力する情報が増えるため、それに伴い手間が増えることも事実です。

「今までのIDとパスワードの認証だけでは十分ではないのだろうか?」
「なぜ、わざわざ認証を二段階にする必要があるあるのだろうか?」

このような疑問をお持ちの方もいらっしゃるかもしれません。

そこで今回は、なぜ二段階認証が広まっているのか、二段階認証をすることでどのようなメリットがあるのか、そして具体的にどのような使われ方をしているのかについて、解説していきます。

1.二段階認証が広まっている理由

近年はアプリやWebサービスを利用する機会が増えているため、IDとパスワードを覚えておくのも一苦労だと感じている方もいらっしゃると思います。それに加えて二段階認証が必要ともなると、アプリやWebサービスを利用するための工程が以前よりも1つ増えたことになります。

一般的に、アプリなどを利用する際の工程は少ない方が良いとされていますが、それなのに二段階認証が広まっているのはなぜでしょうか?

この疑問を解決するために、二段階認証とは何なのかについて解説していきます。

1-1.二段階認証とは

二段階認証とは、IDとパスワードによる認証(一段階目)を行った後に、別の認証(二段階目)を行うことでアカウントの保護を行う認証方法であり、通常の認証よりもセキュリティ強化が図られるとされています。

具体例を挙げると、IDとパスワードを入力した後に、秘密の質問の答えを入力する方法、SMSやEメールなどで送られる認証コードを入力する方法や電話で伝えられる認証コードを入力するなどといった方法があります。

1-2.二段階認証と二要素認証の違い

二段階認証と二要素認証は一見似たもののように見えますが、異なるものです。ここではその違いを説明します。

二段階認証は先項で述べた通り、認証を二段階に分けて行うことでセキュリティ強化を図るものですが、二要素認証は認証の段階数に関係なく次の3つの認証要素の中から2つを認証に用いるものです。

本人だけが知っていること(例:ログインに必要なID、パスワード、秘密の質問の答え)
本人だけが所有しているもの (例 : スマートフォン、キャッシュカード、クレジットカード)
本人自身の特性 (例 : 指紋や顔など本人が持つもの)
二要素認証の具体例として、銀行のATMが挙げられます。本人だけが所有しているキャッシュカードと、本人だけが知っている暗証番号、近年では本人の指紋を組み合わせる3要素以上の多要素認証方法も普及しており、これらの要素が揃って初めてお金を引き出せるようになっています。

近年の二段階認証は「秘密の質問の答え」といった「一要素二段階認証」は少なくなり、スマートフォンに送られる認証コードなどを用いた「二要素二段階認証」が増えつつあります。

1-3.二段階認証が広まっている理由

スマートフォンの普及によって、ネットショッピングやSNS、メールなどのWebサービスだけでなく、入金から決済までをスマートフォンで行う決済サービスも広がりを見せています。これほどまでにWebサービスやアプリが私達の生活に浸透してきているということは、それだけIDやパスワードが流出する機会が増えてしまい、今まで以上に強固なセキュリティが必要とされているともいえます。

そのような中で、ネットセキュリティ技術は年々向上してきてはいますが、それを突破する技術も向上してきています。また、ダークウェブなどで企業から漏洩したIDやパスワードなどのログイン情報が売買されているケースもあります。

自分自身でログイン情報を完璧に管理出来ていたとしても、自分のログイン情報が何らかの方法で悪意のある第三者の手に渡ってしまったら、アカウントが乗っ取られてしまう恐れがあります。

このようにセキュリティに関する状況が変化していることから、IDとパスワードの認証(一段階・一要素)だけでは安全とはいえないため、その対策として二段階認証や二要素認証が主流となりつつあるのです。。

1-4.二段階認証のメリット

二段階認証の大きなメリットは、セキュリティが向上することです。

先ほども述べた通り、スマートフォンの普及によりSNSなどのサービスが増加している一方で、不正ログインやアカウントの乗っ取りなどの危険性が高まっており、実際にこれらの被害に遭っている人数は増加傾向にあります。

二段階認証を導入していれば、万一IDやパスワードなどのログイン情報が漏洩してしまったとしても、二段階目の認証の突破を阻止できれば不正ログインや乗っ取りなどの被害を未然に防ぐことが可能になります。

1-5.二段階認証のデメリット

二段階認証のデメリットは、今まで1回で済んでいたログイン時の認証作業が2回に増えることが面倒だと感じることが挙げられます。しかしこれは、セキュリティ向上と手間を天秤にかけて、自分の身を守るにはどちらの方が重要かを考える必要があります。

仮に自分のパスワード管理が完璧であったとしても、企業などからそれが漏えいして売られている時代です。残念ながら面倒などと言っていられる状況ではありません。

2.二段階認証の種類

導入が広まっている二段階認証は、いくつかの種類があり、セキュリティの強さや利便性などに違いがあります。

2-1.SMSによる二段階認証

SMSを利用した二段階認証は電話番号に認証コードを送る方法で、スマートフォンやガラケーなどを契約していれば利用できることから、最もポピュラーな認証方法だといえます。

こちらはネット決済サービスのPayPalから実際に送られてきたメッセージです。ここに記載されているセキュリティコードがなければサービスを利用できないようにすることで、このメッセージを受信できる人以外の利用を防止しています。

つまり、IDとパスワードが第三者に流出していたとしても、スマートフォンが手元に無ければ二段階目の認証が出来ず、サービスを利用する(お金を動かす)ことはできません。最近多く見かける二要素の二段階認証です。

ただし、SMSオプションを付けずに格安スマートフォンなどを契約している場合や、海外にいることでSMSが受信できない場合などは、SMSによる二段階認証を利用することができません。

2-2.音声通話を利用した二段階認証

音声通話を利用した二段階認証とは、電話への着信によって自動音声で認証コードが伝えられる方法です。これも特定の電話番号で着信できる環境にいる必要があるため二要素の二段階認証になります。

この二段階認証のメリットは視覚障害のある方にも利用しやすいことですが、耳が遠い方や聴覚障害のある方は利用しにくいデメリットもあります。

2-3.Eメールを利用した二段階認証

Eメールを利用した二段階認証とは、使用しているメールアドレス宛に認証用のワンタイムパスワードや認証用のURLが送られる方法です。これも広く利用されている二段階認証の1つですが、プロバイダから提供されているメールアドレスを利用している場合、プロバイダを変更するとアドレスが変わってしまうことで二段階認証ができなくなってしまいます。

プロバイダの変更時などによってメールアドレスが変わる場合は、認証用のメールアドレスの再設定を忘れず行うようにしましょう。

また、メールにアクセスするためのIDとパスワードが第三者に漏えいしていると二段階認証であったとしても意味がありません。認証用のメールを受け取るアドレスそのものが安全であることが前提となります。

2-4.アプリによる二段階認証

アプリによる二段階認証は、専用のアプリを介することで二段階認証を行います。具体的には、Webサービスにログインしようとした際に「ログインを許可しますか?」といったような通知がアプリに届くので、その通知に対して許可した時にだけログインができるというものです。

アプリによる二段階認証では通知の他に、指紋認証や顔認証、QRコードの読み取りなどの方法が採用されているケースもあります。

例えば、Apple Pay の顔認証などがこのケースに該当します。

出典 : https://support.apple.com/ja-jp/HT208109

2-5.物理デバイスを用いた二段階認証

物理デバイスを用いた二段階認証もあります。セキュリティキーというUSBメモリ型の小型デバイスを、利用するサービスのアカウントと紐づけ登録して使用します。

こうすることで、セキュリティキーを持っていることそのものが本人確認となる仕組みです。小型デバイスはパソコンのUSB端子に接続するタイプや、モバイル機器とBluetoothで接続するタイプがあり、かなりセキュリティレベルが高い二段階認証の方法とされています。

例えば、Google Titanがこのセキュリティキーになります。

しかし、このセキュリティキーを紛失・破損すると本人であってもログインに支障をきたす可能性があります。また、キーそのものの管理を徹底する必要もあります。

2-6.トークンによる二段階認証

トークンによる二段階認証とは、セキュリティトークンというワンタイムパスワードを生成する機器を利用する方法で、この機器で生成したパスワードを制限時間内に入力することで認証を行います。トークンはインターネットバンキングや暗号資産(仮想通貨)などを扱う金融機関や、オンラインゲームなどに導入されており、サービスの利用者に無料で配布されるケースもあります。外部デバイスを使った二段階認証の中でも比較的安全性が高く、信頼できる方法だといえます。

こちらは、ジャパンネット銀行が口座保有者に配布しているトークンです。ここに表示されているワンタイムパスワードがないと振り込みや設定変更などができないため、セキュリティが強化されています。

3.二段階認証のセキュリティをさらに向上させるためのポイント

二段階認証のセキュリティは、工夫次第でさらに向上させることが可能になります。SNSや各種サービスをより安心して利用するためにも、二段階認証のセキュリティをさらに向上させるポイントをご紹介します。

3-1.推測されやすいパスワードは避ける

二段階認証を導入しているとしても、IDとパスワードなどのログイン情報は自分で設定する必要があります。ログイン情報の設定の際に手間を少しでも軽減したいという気持ちから、簡単で覚えやすいパスワードを設定するケースが多く見受けられますが、これは同時に第三者にも突破されやすいパスワードでもあります。そのため、たとえ二段階認証を導入していても一段階目のセキュリティレベルが低いのは良い状況とは言えません。

当然の事ではありますが、一段階目の認証においても推測されやすい簡単なパスワードは避けて、次に紹介するページを参考にして複雑で独自性のあるパスワードを設定することを推奨します。

・複雑で強いのに忘れにくいパスワードの作り方と、正しい管理法

3-2.認証端末を別にする

最近はスマートフォンを利用したサービスも多岐にわたり、買い物や決済など、多くのことをスマートフォンで完結しようとする人も増えてきています。

確かに、1つの端末で必要な用事を済ませられることは非常に便利です。しかし、これが二段階認証のセキュリティに影響を及ぼす可能性もあります。

例えば、スマートフォンにインストールした認証表示用のアプリと、スマートフォンにメッセージが届くSMSが同一の端末で利用されている場合、かつスクリーンロックをかけてないような場合セキュリティが向上しているとはいえません。

面倒かもしれませんが、スマートフォンのアプリとパソコンのそれぞれに認証メッセージが届くようにするなど、二段階認証を行う際に端末を分けるとセキュリティがより強化されます。例えば、以前使用していて今は使っていないスマートフォンにGoogle Authenticatorをインストールするなどして、二段階認証の専用機にすることも有効です。

3-3.二段階認証を面倒だと思わない

インターネットは便利なものですが、フィッシング詐欺などログイン情報を盗み取る手口は年々巧妙さを増していることに加えて、ダークウェブでログイン情報が売買されるなど、個人情報が危険に晒される可能性も高まっています。このような状況の中で個人情報を守るためには、普段からセキュリティについて意識することが大切です。

そのためにも、二段間認証を面倒だと思わずに利用するようにしましょう。また、二段階認証の利用と併せて、先にもある通り第三者に突破されにくいパスワードを設定するなど、ログイン情報を適切に管理することも大切です。

3-4.二段階認証を過信しない

現段階では、100%安全だといえるセキュリティは存在しません。そのため、二段階認証を導入しているとはいえ、完璧にログイン情報などの個人情報を守れるとは言い切れません。しかし、IDとパスワードだけの認証方法よりも明らかに有効性が高いので、セキュリティ向上のためにも積極的に活用するようにしたいものです。

4.まとめ

スマートフォンの普及によってネットショッピングだけでなく、入金や決済など、お金の管理までネット上で行うことが広がりつつあります。そのため、個人情報を守るセキュリティは、より強固であることが求められており、それを実現するために導入されているのが二段階認証です。

二段階認証の機能を活用することでセキュリティの向上が図ることができることに加えて、ご自身も個人情報を守ることを心掛けることで、さらに安全にWebサービスやアプリを利用することが可能になります。

今回の記事でご紹介した、二段階認証のセキュリティをさらに向上させるためのポイントはどれも難しいことではないのでぜひ実践していただき、各種インターネットサービスをより安心して利用することに役立ててください。

※記事内容の利用実施は、ご自身の責任のもとご判断いただくようお願い致します。

ノートンのロゴ
  • Norton
ノートンは、世界中の人々や家族がデジタル ライフでより安全に感じられるように支援します

編集者注記: 私たちの記事は、教育的な情報を提供します。 私たちの提供物は、私たちが書いているすべての種類の犯罪、詐欺、または脅威をカバーまたは保護するとは限りません. 私たちの目標は、サイバーセーフティに関する意識を高めることです。 登録またはセットアップ中に完全な条件を確認してください。 個人情報の盗難やサイバー犯罪をすべて防ぐことは誰にもできないことと、LifeLock がすべての企業のすべての取引を監視しているわけではないことを忘れないでください。 Norton および LifeLock ブランドは、Gen Digital Inc. の一部です。

Contents

    その他の情報

    ノートンのソーシャルアカウントをフォローして、最新ニュースやお得な情報をゲットしよう。