巧妙化する不正ログインに対応するため、「2段階認証」を導入するサービスも多い。ただし、2段階だから安心とは限らない。ここでは、複数要素を組み合わせた「2要素認証」を解説する。また、ジャパンネット銀行では、2要素認証を実現したトークンカードを口座開設者に配布してくれる。
セキュリティの最強極意(6)
SMSのやり取りだけでは不十分!?
オンラインサービスへの登録時は2段階ではなく2要素を重視せよ!
巧妙化する不正ログインに対応するため、「2段階認証」を導入するサービスも多い。ただし、2段階だから安心とは限らない。実は認証のステップ数を増やしただけでは、セキュリティ向上にはつながらない。重要なのは、複数要素を組み合わせた「2要素認証」だ。米国国立標準技術研究所(NIST)では、「知識要素」「所持要素」「生体要素」から、複数を用いた認証を推奨している。
●Iセキュリティを向上させるのは「2要素認証」
単なる2段階認証は、同じカテゴリーの要素を繰り返すだけなので安全性がそれほど高くない。2要素認証は異なる要素を二つ組み合わせるので、不正ログインされにくくなる。
知識要素とは、利用者だけが知っているパスワードなど。所持要素は、利用者が所有するスマホなどの機器、カードなど。生体要素は、指紋など利用者本人の身体的特徴のことを指す。例えば、通常のIDとパスワードに加え、秘密の質問で認証を行うサイトがある。
しかし、これはいずれも知識要素であるため、単に段階数を増やしたにすぎず、セキュリティの意味は薄い。一方、IDとパスワードに加え、利用者のスマホにSMSを送信してパスコードを入力させる方式も多い。
この場合は、知識要素とスマホという所持要素を組み合わせているため、2要素認証に該当する。ただし、先述したNISTによれば、SMS認証のリスクもささやかれており、最近ではネット銀行やソーシャルネットワークなどを中心に、より高レベルな認証を導入している。
例えば、「ツイッター」では、基本的にはIDとパスワードだけで認証する方式だが、利用者が希望すれば、SMS、認証アプリ、セキュリティキーのいずれかを組み合わせて2要素認証を設定できる。
●ツイッターでも2要素認証が利用可能
SNSの中では、ツイッターが2要素認証に対応。「設定」→「アカウント」→「セキュリティ」→「2要素認証」を開いて、「ショートメール」「認証アプリ」「セキュリティキー」から2要素目の方法を選べる。
また、ジャパンネット銀行では、「トークン」と呼ばれるカードで生成したワンタイムパスワードで2要素認証を実現。オンラインサービスのセキュリティが気になる方は、ぜひ2要素認証に注目して選ぶようにしよう。
●トークンを使った2要素認証の例
ジャパンネット銀行で口座開設者に配布されるトークンカード。ボタンを押すことでランダムなワンタイムパスワードが表示され、振り込みなどの際に本人認証として利用される。
解説/宮下由多加(ITライター)
