二要素認証とは

二要素認証とは、これまで1つの要素だけで認証していたものを2つの要素にすることでセキュリティの強化を図る手法のことです。IDとパスワードによる認証が一般的でしたが、これは「ID+パスワード」という1つの要素による認証です。

それに対して二要素認証は、以下の認証の「3要素」から2つが揃っていないと認証が通らない仕組みのことを言います。

本人だけが知っていること=記憶(Something you know)

例)パスワード、パスフレーズ、PIN(Personal Identification Number)など

本人だけが所有しているもの=所持(Something you have)

例)ICカードやスマートカード、ワンタイムパスワードのトークンなど

本人自身の特性=生体情報(Something you are)

例)指紋、音声、虹彩、顔など

二要素認証をかなり前から利用されており、銀行のATMは、キャッシュカードは本人だけが所有しているもの、暗証番号は本人だけが知っていること、この二要素が揃わないとお金を引き出すことはできないので、二要素認証です。

インターネットの普及に伴い、至近では特に決済における本人確認強化=セキュリティ強化が急務となりました。


主な認証方式のメリットとデメリット

パスワード

パスワードによる認証はとても広く普及しています。ネットサービスがその代表例で、多くのサービスにログインする際にパスワードを利用されていることと思います。

パスワードによる認証は手軽で、頭の中に暗記しておくだけでいつでもどこでも認証を通すことができるのがメリットです。

その一方でデメリットは、やはりセキュリティ面で脆弱であることです。パスワードを第三者に知られてしまうと認証していないのと同じで、手軽な分だけ破られるリスクも高くなります。また、覚えやすいからという理由から複数のサービスで同じパスワードを使っている人は多いと思いますが、この場合は1つのパスワードが破られてしまうと一斉に同じパスワードを使用している他のサービスも危険に晒されます。

1つのパスワードを複数の認証に試す総当たり攻撃も存在するため、金銭に関わるサービスなど高いセキュリティが求められるサービスの場合はパスワードだけだと不十分であると言えるでしょう。

トークン

ネットバンキングなどでよく用いられているのが、トークンによる認証です。3つある認証要素の中では「本人だけが所有しているもの」に属します。これらの認証方法はIDとパスワードという「本人だけが知っていること」に加えて補助的に用いられることが多く、ネットバンキングでは振り込みなどお金を引き出す操作時にトークンのワンタイムパスワードの数値の入力を求めるなどの方法でセキュリティ強化が図られています。

「本人だけが所有しているもの」による認証は、それを持っていない人でないと認証が通らないのでセキュリティ強化に役立ちますが、万が一それを紛失したり盗難に遭った場合は本人であっても不正ログインと見なされるため不利益を被ることになるのがデメリットです。

生体認証

本人自身の特性として近年認証方法への採用が進んでいるのが、生体認証です。指紋や虹彩、顔認証はその代表格で、いずれも本人だけが持っている生体としての特性です。

生体認証のメリットは、その人自身がキャッシュカードや鍵の役割を果たすため「本人だけが所有しているもの」による認証よりも手軽であることです。キャッシュカードや鍵だと、たとえ本人であっても持っていなければ認証を通すことができませんが、生体認証の場合は紛失の心配がありません。


異なる要素の認証方式を組み合わせる

上述のように、3つある認証要素のそれぞれにメリットとデメリットがありので、それぞれの要素1つだけに依存するのはリスクがあるということで導入されているのが二要素認証なのです。

本人だけが知っていること、所有しているもの、そして本人自身の特性という全く異なる要素の認証を組み合わせることでセキュリティを強化することができます。


二段階認証とは

二要素認証と似た言葉で「二段階認証」があります。言葉はよく似ているのですが、意味には微妙な違いがあり、二要素認証とは3つある認証要素の中から2つを認証に用いるというもので、二段階認証は認証を2回に分けることでセキュリティ強化を図ったものを指します。

ネットバンキングや各種クラウドサービスなどを利用している際に、これまで利用したことがないデバイスからログインを試みるとIDとパスワードだけでは認証できず、あらかじめ登録しているメールアドレスに認証メールが届き、そこにあるリンクにアクセスすることで認証されるというパターンがありますが、これは二段階認証の一種です。

このように二段階認証と二要素認証は意味合いが異なりますが、単一の認証よりもセキュリティを強化している点では共通しています。

PCI DSSはご存知ですか?

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。

カード会社はもちろん、カード情報を「保存、処理、伝送」する事業者であるカード加盟店や銀行、決済代行サービス企業などが、年間のカード取引量に応じたレベルに従ってPCI DSSに準拠する必要があります。具体的には百貨店やスーパー、量販店、ECサイトなどの流通業や保険会社などの金融業、また携帯電話会社や通信会社なども準拠の対象になります。

PCI DSSで求められる要件

PCI DSSでは6つの目標とそれに対応する12の要件が定められています。

●安全なネットワークとシステムの構築と維持
1.カード会員データを保護するために、ファイアウォールをインストールして維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

●カード会員データの保護
3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

●脆弱性管理プログラムの整備
5.マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し、保守する

●強力なアクセス制御手法の導入
7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する

●ネットワークの定期的な監視およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする

●情報セキュリティポリシーの整備
12.すべての担当者の情報セキュリティに対応するポリシーを整備する

PCI DSSでも「ニ要素認証」

PCI DSSでも外部ネットワークからのリモートアクセス時には「ニ要素認証」が要求されています。
※Ver3.2では2つ以上の認証要素を必要とする「多要素認証」と定義された

また、1段階目の認証をパスしても自動的に2段階目の認証もパスすることができない、1つの認証が破られても別の認証には影響を与えないといった「認証の独立性」が重要であるとされています。多要素認証として多く利用されているものの一つとして、スマートフォンなどのSMSや通話を利用してワンタイムパスワード(OTP)を送信する方法があります、「認証の独立性」の観点から今後は非推奨になる可能性があります。

飛天ジャパンは認証技術においては日本有数の導入実績があり、また二要素認証を採用した製品やサービスを多数提供しております。


「らく認」
マルチ認証方式(多要素認証)を採用したクラウドサービス「らく認」は、ユーザーが任意の認証方式を選べる画期的なセキュリティ対策ソリューションです。



ワンタイムパスワード認証システム(FOAS)
ワンタイムパスワード(OTP)トークンと呼ばれる一定期間有効なパスワードを専用デバイスが自動生成し、ユーザーが入力することで認証を行うシステムです。「ワンタイム」の文字通り、1度のみ有効な使い切りパスワードのため、盗聴や漏洩などをはじめとするさまざまな脅威に対して高度なセキュリティを発揮します。



FIDOに準拠した認証セキリティデバイス
Google、Microsoft、RSAといった大企業や主要カードネットワーク各社が名を連ねるFIDO(Fast IDentity Online Alliance)アライアンス、この団体が開発を進めている生体認証技術などを用いた、パスワードに代わる新しい認証技術が「FIDO(ファイド)」です。



USBキーを利用したWeb認証システム「SecureVisit」
USBキーまたはワンタイムパスワードトークンを活用した強固な二要素認証方式なので、IDとパスワードだけに頼る従来の認証方式より高度なセキュリティを実現できます。既存のWebサーバを改変する必要もないため、手軽に導入できるのも特長です。



WindowsOSへのログオン制御ソフト「SecureCore」
USBキー(ePassトークン)を物理的な「鍵」として、Windows PCへのログオンを制御するソリューションです。またSecureCore はID・パスワードにUSBトークンを組み合わせた二要素認証により不正ログオンを防止するだけでなく、USBトークンを抜くとロックが掛かりPCの利用ができなくなります。



USBトークン「ePass」
PIN番号(個人識別情報)とUSBトークン(デジタル鍵)を組み合わせたデバイスです。銀行のICキャッシュカードと同等のセキュリティレベルで、システムの認証強化をサポートします。


関連記事

FIDOセキュリティキーのG Suite設定手順のご紹介

クレデンシャルスタッフィング攻撃とは

Google Titan Security Key

GDPR対策について

第4回 FIDOアライアンス東京セミナー開催しました

人的ミスによる情報漏洩を防止できる暗号化ソフトウェア「SecureCore DSE」の提供を開始

マルチファクター認証に関してーFIDO U2Fとはいったい何?

情報漏洩をご心配されている企業の皆様!ご注目下さい!!

「中国サイバーセキュリティ法」施行のリスク

中国Tencent社のハッキング技術に驚愕!!