二段階認証|Two Step Verification|ニダンカイニンショウ

二段階認証の定義

システムやサービスへのログイン認証を二段階に分けて行う方式を、二段階認証と呼ぶ。

一般的なネットサービスでは、IDパスワードを入力するとすぐに認証が許可されログイン完了となる「一段階認証」である。二段階認証は、IDパスワードなど何かしらの情報を入力・認証した後に、画面が切り替わって追加情報の入力を求められ、追加情報を入力しないと認証が完了しない方法を用いている。一段階認証より高いセキュリティを求めるシステムやサービスにおいて用いられる場合が多い。

身の回りにある二段階認証の例

我々の身の回りで用いられている二段階認証には、以下のようなものがある。一般的にID・パスワードと併用されているものを以下にて取り上げる。

(1)乱数表(例:住信SBIネット銀行)

支店番号・口座番号
ログインパスワード

送金時に18マスの乱数表(1マスあたり数字2桁)から指定された2マスを入力

(2)ワンタイムパスワード(例:三菱東京UFJ銀行)

店番号・口座番号
ログインパスワード

口座振込・住所変更など手続き時はトークンに表示されるワンタイムパスワードを入力

(3)ICカード(例:従業員がインターネットからイントラネットにアクセス)

ID番号やメールアドレス
ログインパスワード

ICチップがついたカードを、パソコンに接続されたカードリーダーから読み取り認証

以上、お伝えしたように「ID+パスワード」を用いた一段階の認証に加えて、もう一段階追加の認証を要求して二段階認証とすることで、セキュリティを高め、不正アクセスを防ぐ努力が行われている。

(1)と(2)は、お金のやり取りが発生する金融機関で利用される場合が多い。金融機関口座に不正アクセスされると、預金が盗難される場合があるため、金銭的に多大な損害が生じかねないため、セキュリティ強化の一環として早くから用いられている。ネットバンキングの二段階認証は、2000年代前半から既に導入されており、パソコンからのアクセスを前提として作られている(当時はSMS認証は存在していない)。ログイン時にIDとパスワード入力後、乱数表が記載されたプラスチックのカードや、ワンタイムパスワードが表示された物理トークンの情報を追加入力して、セキュリティを高めている。

(3)のICカードリーダーの利用は、企業で勤務する従業員がノートパソコンなどでインターネット経由で企業内イントラに接続する際に利用されることが多い。ICチップが付帯したカードをパソコンのカードリーダーに差し込み、IDパスワードを併用して認証を行う。

上記以外の認証としては、指紋や顔認証などを用いた生体認証、USBドングル認証(ドングルのみの認証、またはドングルと専用パスワードを併用する認証)などが存在する。また、SMSを利用した認証は、米国標準技術研究所 (NIST) が非推奨としたため、現在は減少傾向にある。

二段階認証は高いセキュリティが確保されているのか

2017年6月にアメリカ国立標準技術研究所(通称NIST)は、「Electronic Authentication Guideline」(電子的認証に関するガイドライン。以下「本ガイドライン」)の最新版をリリースしている。

本ガイドラインによると、生体情報(指紋、顔、静脈など)、知識情報(パスワード、秘密の質問など)、所持情報(乱数表、ワンタイムパスワード、SMSなど)といった「認証要素」を複数組み合わせることで、認証の強度を高めることについて言及されているが、「認証の段階数を増やすことによるセキュリティ強化」については言及されていない。

認証要素を増やすことによるセキュリティ強化は、具体的には (1) 「1つの認証要素のみ」、(2)「2つの認証要素を併用」、(3) 「2つの認証要素を併用し、うち1つは物理デバイスが必要」というように、認証要素の数、または物理デバイスを利用するかどうかで、認証強度を3段階にレベル分けしている。セキュリティ強度は、(3)が最も高く、次に(2)が高く、最も低いのが(1)である。

では、本ガイドラインに言及がない、二段階認証はセキュリティ強化に役に立たないかといえばそうではない。一般的に用いられている「二段階認証」は、実際は「二段階認証かつ二要素認証(多要素認証とも呼ばれる)」として導入、提供されている場合が多いためだ。

例えば、上記で説明した「住信SBI銀行(乱数表)」「三菱東京UFJ銀行(ワンタイムパスワード)」「Office 365 (SMS)」「ICカード」などは、いずれも二段階の認証を求めると同時に、2つの認証要素を組み合わせた「二要素認証」となっている。本ガイドラインがいうところの (2) または (3) となり、高いセキュリティが確保されている。

なお、本ガイドラインの詳細については解説記事を参照されたい。

・参考ページ
 世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

二段階認証は今後どのように変化していくか

二段階認証は、2000年代前半からスマートフォン出現以前までは、「乱数表」や「物理トークン」「ICチップ搭載カード」といった物理デバイスを併用した認証を意味していたといってよい。しかし、スマートフォン出現後は、手に持って利用するスマートフォンと、別な物理デバイスを手に持って「二段階認証」することがあまりに面倒になったため、物理デバイスを使わない二段階認証に移りつつある。

具体的には、SMSによる認証やQRコードによる認証である。スマートフォンの電話機能やカメラ機能を利用するため、別な物理デバイスを利用せずとも二段階認証が可能となるため利便性が高い。

そしてここ数年で一気に普及したのが指紋を利用した生体認証である。市場シェアの多いスマートフォンの大多数が指紋リーダーを搭載しているため、スマートフォン内の決済などで急速に普及した。このように、二段階認証がどのように行われるかは、「スマートフォンにどのような機能が搭載され、それをどのように認証に活用するか」という点に大きく左右されると考えられる。

二段階認証|Two Step Verification|ニダンカイニンショウ

二段階認証の定義

システムやサービスへのログイン認証を二段階に分けて行う方式を、二段階認証と呼ぶ。

一般的なネットサービスでは、IDパスワードを入力するとすぐに認証が許可されログイン完了となる「一段階認証」である。二段階認証は、IDパスワードなど何かしらの情報を入力・認証した後に、画面が切り替わって追加情報の入力を求められ、追加情報を入力しないと認証が完了しない方法を用いている。一段階認証より高いセキュリティを求めるシステムやサービスにおいて用いられる場合が多い。

身の回りにある二段階認証の例

我々の身の回りで用いられている二段階認証には、以下のようなものがある。一般的にID・パスワードと併用されているものを以下にて取り上げる。

(1)乱数表(例:住信SBIネット銀行)

支店番号・口座番号
ログインパスワード

送金時に18マスの乱数表(1マスあたり数字2桁)から指定された2マスを入力

(2)ワンタイムパスワード(例:三菱東京UFJ銀行)

店番号・口座番号
ログインパスワード

口座振込・住所変更など手続き時はトークンに表示されるワンタイムパスワードを入力

(3)ICカード(例:従業員がインターネットからイントラネットにアクセス)

ID番号やメールアドレス
ログインパスワード

ICチップがついたカードを、パソコンに接続されたカードリーダーから読み取り認証

以上、お伝えしたように「ID+パスワード」を用いた一段階の認証に加えて、もう一段階追加の認証を要求して二段階認証とすることで、セキュリティを高め、不正アクセスを防ぐ努力が行われている。

(1)と(2)は、お金のやり取りが発生する金融機関で利用される場合が多い。金融機関口座に不正アクセスされると、預金が盗難される場合があるため、金銭的に多大な損害が生じかねないため、セキュリティ強化の一環として早くから用いられている。ネットバンキングの二段階認証は、2000年代前半から既に導入されており、パソコンからのアクセスを前提として作られている(当時はSMS認証は存在していない)。ログイン時にIDとパスワード入力後、乱数表が記載されたプラスチックのカードや、ワンタイムパスワードが表示された物理トークンの情報を追加入力して、セキュリティを高めている。

(3)のICカードリーダーの利用は、企業で勤務する従業員がノートパソコンなどでインターネット経由で企業内イントラに接続する際に利用されることが多い。ICチップが付帯したカードをパソコンのカードリーダーに差し込み、IDパスワードを併用して認証を行う。

上記以外の認証としては、指紋や顔認証などを用いた生体認証、USBドングル認証(ドングルのみの認証、またはドングルと専用パスワードを併用する認証)などが存在する。また、SMSを利用した認証は、米国標準技術研究所 (NIST) が非推奨としたため、現在は減少傾向にある。

二段階認証は高いセキュリティが確保されているのか

2017年6月にアメリカ国立標準技術研究所(通称NIST)は、「Electronic Authentication Guideline」(電子的認証に関するガイドライン。以下「本ガイドライン」)の最新版をリリースしている。

本ガイドラインによると、生体情報(指紋、顔、静脈など)、知識情報(パスワード、秘密の質問など)、所持情報(乱数表、ワンタイムパスワード、SMSなど)といった「認証要素」を複数組み合わせることで、認証の強度を高めることについて言及されているが、「認証の段階数を増やすことによるセキュリティ強化」については言及されていない。

認証要素を増やすことによるセキュリティ強化は、具体的には (1) 「1つの認証要素のみ」、(2)「2つの認証要素を併用」、(3) 「2つの認証要素を併用し、うち1つは物理デバイスが必要」というように、認証要素の数、または物理デバイスを利用するかどうかで、認証強度を3段階にレベル分けしている。セキュリティ強度は、(3)が最も高く、次に(2)が高く、最も低いのが(1)である。

では、本ガイドラインに言及がない、二段階認証はセキュリティ強化に役に立たないかといえばそうではない。一般的に用いられている「二段階認証」は、実際は「二段階認証かつ二要素認証(多要素認証とも呼ばれる)」として導入、提供されている場合が多いためだ。

例えば、上記で説明した「住信SBI銀行(乱数表)」「三菱東京UFJ銀行(ワンタイムパスワード)」「Office 365 (SMS)」「ICカード」などは、いずれも二段階の認証を求めると同時に、2つの認証要素を組み合わせた「二要素認証」となっている。本ガイドラインがいうところの (2) または (3) となり、高いセキュリティが確保されている。

なお、本ガイドラインの詳細については解説記事を参照されたい。

・参考ページ
 世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

二段階認証は今後どのように変化していくか

二段階認証は、2000年代前半からスマートフォン出現以前までは、「乱数表」や「物理トークン」「ICチップ搭載カード」といった物理デバイスを併用した認証を意味していたといってよい。しかし、スマートフォン出現後は、手に持って利用するスマートフォンと、別な物理デバイスを手に持って「二段階認証」することがあまりに面倒になったため、物理デバイスを使わない二段階認証に移りつつある。

具体的には、SMSによる認証やQRコードによる認証である。スマートフォンの電話機能やカメラ機能を利用するため、別な物理デバイスを利用せずとも二段階認証が可能となるため利便性が高い。

そしてここ数年で一気に普及したのが指紋を利用した生体認証である。市場シェアの多いスマートフォンの大多数が指紋リーダーを搭載しているため、スマートフォン内の決済などで急速に普及した。このように、二段階認証がどのように行われるかは、「スマートフォンにどのような機能が搭載され、それをどのように認証に活用するか」という点に大きく左右されると考えられる。