「認証の回数が多いほど安全」は間違い？ 二要素認証のハナシ：今さら聞けない「認証」のハナシ（3/3 ページ）

[パスロジ，ITmedia]

クレジットカード情報の安全性

　より強固な一段階・二要素認証を求めているセキュリティポリシーの例としては、クレジットカード情報を安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準「PCI DSS」の要件8.3があります。

　このPCI DSS要件8.3では、クレジットカード会員データにアクセスする際の認証形式を規定しています（参考リンク：PCI SSCの日本語サイト）。

　PCI DSS要件8.3には単に「多要素認証を用いること」としか書かれていませんが、別途用意された書類「Multi Factor Authentication Guidance v1」において、2要素を同時に判定するように規定されています。

　通販サイトを利用したことのある方は、クレジットカード情報を保存しておいて、次回以降の買い物のときにはクレジットカード情報の入力が不要になる機能を見たことがあるかと思います。

　この機能を通販サイトで用意している場合、顧客のクレジットカード情報を通販サイト運営企業のサーバ内に保管していることになります。その企業のサイト管理者が、そのサーバにアクセスする際には、PCI DSSにのっとった一段階・二要素認証で認証する必要があります。（※3）

※3：2018年6月に施行された「改正割賦販売法」により、クレジットカード情報を保持する業者はPCI DSSに準拠することが義務付けられました。

国が定めるインフラのセキュリティ対策

　一方で、内閣サイバーセキュリティセンター（NISC）内のサイバーセキュリティ戦略本部が策定した「重要インフラにおける情報セキュリティ確保に係る 安全基準等策定指針（第5版）」では、国民の生活や経済活動、場合によっては生命に関わる重要インフラサービスにおける情報セキュリティ対策について書かれています。

　ここで対象となっている重要インフラサービスの管理においては、十分な認証を適用しておいてほしいな、と思うのですが、実際の文書においては、参照先とされているいくつかの文書の中の1つ、「府省庁対策基準策定のためのガイドライン（平成28 年度版）」において「多要素主体認証の導入など、以下を例とする機能を設けることを検討することが重要である」という記述にとどまっています。

　となると、構築・導入の現場で関わった方の知見、裁量によって幅がある導入がされているのかもしれません。実際には十分な対策がされていると信じたいですね。

　このように、同じ二要素（多要素）認証でもポリシーによって、内容が分かれている状況です。実際に導入を検討する際には、認証を突破された際のリスクがどれほどのものか、セキュリティポリシーを定めた側がどれほどの対策を求めているのかを確認しておきましょう。

数が多い＝安全ではない？　3要素以上の要素を使う意味

　二段階・二要素認証ではなく、多段階・多要素認証という名称が使われている場合、3要素以上の要素を使った認証も想定しているかもしれません。

　しかし、多段階・多要素とはいっても、本人認証に有用な要素は3種類だけなので、4段階・4要素以上の段階・要素を使っても、同じ要素を重ねるだけとなり、コストに見合う効果は得られないと考えられます。

　今のところは一般的な認証においては、2段階・2要素で十分であり、よほど重要だったり、特殊な環境でない限り、3段階・3要素目は必要ないのではないでしょうか。

ただし、認証時に本人特定だけではなく、利便性の向上や利用者の状況も同時に確認するなどといった用途で、認証の3要素に含まれない認証要素を追加で使うことはあり得ます。

　今後の記事では、認証の3要素のそれぞれの特徴や、認証の3要素以外の要素について紹介していきたいと思います。