二要素認証でセキュリティ強化

二要素認証とは

二要素認証(Two Factor Authentication)とは2つの要素を用いてユーザーを認証する仕組みのことです。IDとパスワードによる認証が長らく一般的でしたが、これは「ID＋パスワード」という1つの要素による認証です。近年ではアカウント情報流出の被害が後を絶えず、1つの要素による認証では安全性に問題があると指摘されています。
二要素認証は認証の「3要素」のうち2つが揃っていないと認証が通らない仕組みであるため、認証強度を格段に高めることができます。
この記事では二要素認証の例を交えてご紹介します。

本人だけが知っていること＝記憶要素（Something you know）

例）パスワード、秘密の質問、PIN（Personal Identification Number）など
セキュリティ業界では知識認証と言います。

本人だけが所有しているもの＝所持要素（Something you have）

例）ICカードやスマートカード、ワンタイムパスワードのトークンなど
セキュリティ業界では所有物認証と言います。

本人自身の特性＝生体要素（Something you are）

例）指紋、音声、虹彩、顔など
セキュリティ業界では生体認証と言います。

二要素認証は身近な場面で利用されています。銀行のATMは、キャッシュカードは1.本人だけが所有しているもの、2.暗証番号は本人だけが知っていること、これらの二要素が揃わないとお金を引き出すことはできないので、二要素認証となります。

インターネットの普及に伴い、近年では特に決済における本人確認強化＝セキュリティ強化が急務となりました。

二要素認証イメージ

主な認証方式のメリット・デメリット

パスワード（知識認証）

パスワードによる認証はシステム構築が比較的容易なため、最も広く普及しています。ネットサービスがその代表例で、多くのサービスにログインする際にパスワードを利用されています。

パスワードによる認証は手軽で、頭の中に暗記しておくだけでいつでもどこでも認証を通すことができるのがメリットです。

トークン（所有物認証）

ネットバンキングなどでよく用いられているのが、トークンによる認証です。3つある認証要素の中では「本人だけが所有しているもの」に属します。これらの認証方法はIDとパスワードという「本人だけが知っていること」に加えて補助的に用いられることが多く、ネットバンキングでは振り込みなどお金を引き出す操作時にトークンのワンタイムパスワードの数値の入力を求めるなどの方法でセキュリティ強化が図られています。

「本人だけが所有しているもの」による認証は、それを持っていない人でないと認証が通らないのでセキュリティ強化に役立ちますが、万が一紛失や盗難に遭った場合は本人であっても不正ログインと見なされるため不利益を被ることになるのがデメリットです。

身体的特徴（生体認証）

本人自身の特性として近年認証方法への採用が進んでいるのが、生体認証です。指紋や虹彩、顔認証はその代表格で、いずれも本人だけが持っている生体としての特性です。

生体認証のメリットは、その人自身がキャッシュカードや鍵の役割を果たすため「本人だけが所有しているもの」による認証よりも手軽であることです。キャッシュカードや鍵だと、たとえ本人であっても持っていなければ認証を通すことができませんが、生体認証の場合は紛失の心配がありません。かつては生体情報を読み取る機器が高価だったので導入がなかなか進みませんでした。近年ではスマホにも指紋認証機能などが搭載されており、普及が進んでいます。

なぜパスワード認証は問題なのか？

パスワードによる認証は手軽であるがゆえにセキュリティ面が脆弱です。パスワードを第三者に知られてしまうと認証していないのと同じで、手軽な分だけ破られるリスクも高くなります。また、覚えやすいからという理由から複数のサービスで同じパスワードを使っている人は多いですが、この場合は1つのパスワードが破られてしまうと一斉に同じパスワードを使用している他のサービスも危険に晒されます。

パスワード認証の脆弱性を利用してサイバー攻撃者は様々な手段を使ってIDとパスワードの手に入れようと試みます。
・ユーザーが利用する端末にマルウェア（ウイルス）を仕掛けてID・パスワードを盗む。
・システムの脆弱性を利用し、サーバに登録されているID・パスワードを盗む。
・偽のメールから偽のホームページに接続させてアカウントを登録させる（フィッシング）
・ユーザーのふりをしてネットワーク管理者にパスワードを聞き出す。（ソーシャル・エンジニアリング）

認証	セキュリティレベル	メリット	デメリット
パスワード（知識認証）	★☆☆	手軽に導入可能	セキュリティ面で脆弱
トークン（所有認証）	★★★	セキュリティ強化	紛失による不正ログインの危険性
身体的特徴（生体認証）	★★★	紛失の心配がない	導入コストが高い

異なる要素の認証方式を組み合わせる

上述のように、3つの認証要素それぞれにメリットとデメリットがあるので、異なる2つの要素を組み合わせて行う「二要素認証」によってデメリットを補ってセキュリティを強化することができます。

二段階認証とは

二要素認証と似た言葉で「二段階認証」があります。言葉はよく似ているのですが、意味には微妙な違いがあります。二要素認証とは3つある認証要素の中から2つを認証に用いるというもので、二段階認証は認証を2回に分けることでセキュリティ強化を図ったものを指します。

ネットバンキングや各種クラウドサービスなどを利用している際に、これまで利用したことがないデバイスからログインを試みるとIDとパスワードだけでは認証できず、あらかじめ登録しているメールアドレスに認証メールが届き、そこにあるリンクにアクセスすることで認証されるというパターンがありますが、これは二段階認証の一種です。

このように二段階認証と二要素認証は意味合いが異なりますが、単一の認証よりもセキュリティを強化している点では共通しています。

PCI DSSはご存知ですか？

PCI DSS（Payment Card Industry Data Security Standard）とは、クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティの国際統一基準です。2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。

カード会社はもちろん、カード情報を「保存、処理、伝送」する事業者であるカード加盟店や銀行、決済代行サービス企業などが、年間のカード取引量に応じたレベルに従ってPCI DSSに準拠する必要があります。具体的には百貨店やスーパー、量販店、ECサイトなどの流通業や保険会社などの金融業、また携帯電話会社や通信会社なども準拠の対象になります。

PCI DSSで求められる要件

PCI DSSでは6つの目標とそれに対応する12の要件が定められています。

●安全なネットワークとシステムの構築と維持
1.カード会員データを保護するために、ファイアウォールをインストールして維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

●カード会員データの保護
3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

●脆弱性管理プログラムの整備
5.すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し、保守する

●強力なアクセス制御手法の導入
7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する

●ネットワークの定期的な監視およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする

●情報セキュリティポリシーの整備
12.すべての担当者の情報セキュリティに対応するポリシーを整備する

PCI DSSでも「ニ要素認証」

PCI DSSでも外部ネットワークからのリモートアクセス時には「ニ要素認証」が要求されています。
※Ver3.2では2つ以上の認証要素を必要とする「多要素認証」と定義された

また、1段階目の認証をパスしても自動的に2段階目の認証もパスすることができない、1つの認証が破られても別の認証には影響を与えないといった「認証の独立性」が重要であるとされています。多要素認証として多く利用されているものの一つとして、スマートフォンなどのSMSや通話を利用してワンタイムパスワード（OTP）を送信する方法がありますが、「認証の独立性」の観点から今後は非推奨になる可能性があります。

飛天ジャパンは認証技術においては日本有数の導入実績があり、また二要素認証を採用した製品やサービスを多数提供しております。

■「らく認」
マルチ認証方式を採用したクラウドサービス「らく認」は、ユーザーが任意の認証方式を選べる画期的なセキュリティ対策ソリューションです。

■ワンタイムパスワード認証システム（FOAS）
ワンタイムパスワード（OTP）トークンと呼ばれる一定期間有効なパスワードを専用デバイスが自動生成し、ユーザーが入力することで認証を行うシステムです。「ワンタイム」の文字通り、1度のみ有効な使い切りパスワードのため、盗聴や漏洩などをはじめとするさまざまな脅威に対して高度なセキュリティを発揮します。

■FIDOに準拠した認証セキリティデバイス
Google、Microsoft、RSAといった大企業や主要カードネットワーク各社が名を連ねるFIDO（Fast IDentity Online Alliance）アライアンス、この団体が開発を進めている生体認証技術などを用いた、パスワードに代わる新しい認証技術が「FIDO（ファイド）」です。

■USBキーを利用したWeb認証システム「SecureVisit」
USBキーまたはワンタイムパスワードトークンを活用した強固な二要素認証方式なので、IDとパスワードだけに頼る従来の認証方式より高度なセキュリティを実現できます。既存のWebサーバを改変する必要もないため、手軽に導入できるのも特長です。