本当に安全？ 「二段階認証」のハナシ：今さら聞けない「認証」のハナシ（1/3 ページ）

[パスロジ，ITmedia]

　日常生活やビジネスにおいて、PCやスマートフォン、ATMなどを利用するときに行う「認証」（ログイン、ログオン、サインインなどと呼ばれる）という作業。iPhoneのロックを外すときの「Touch ID」など、ほとんどの人が意識せずに日常的に行っていることでしょう。

　認証は、端末やサービスなどを「誰が扱うのか」や「その人物が正当な本人か」を識別する役割を持っています。コンピュータが開発されてからこれまで、ほとんどの認証には「IDとパスワード」が用いられてきました。

　パスワードの流出や使い回しなどによる不正アクセスはしばしば問題になり、フィッシング詐欺やマルウェアなどと同じく、認証の安全性について考えることはセキュリティ上の課題となっています。

　企業・個人向け認証サービスを提供するパスロジでは「認証の課題は、サービス提供者側で対策するだけでなく、サービスの利用者も正しい知識を持って利用することで、解決に近づく」と考えています。認証に関わる仕事をしている方でそう思う人は多いのではないでしょうか。

　本連載では、「認証」とその周辺の情報をかみ砕いて、できるだけ分かりやすくお伝えします。

新連載：今さら聞けない「認証」のハナシ

認証セキュリティ専門企業であるパスロジが、専門用語が飛び交いがちなセキュリティの知識・話題から、「認証」関連分野を中心にできるだけ分かりやすく紹介します。

広まる「二段階認証」

　先述したように、パスワードの安全性が課題となっており、その解決策の1つとして「二段階認証」がよく見られるようになってきました。

　例えば、FacebookやTwitterなどのSNS、GoogleやMicrosoftアカウントといった総合サービス、インターネットバンキングや仮想通貨取引サービスなどで二段階認証が導入されています。

　これはその名の通り、2段階で認証する方法で、「パスワードだけでは安全性が不十分みたいだから、もう1段階追加して、2段階で認証しよう」ということです。2段階目には、スマホアプリに表示される情報や、メール、SMSメッセージに届く情報（4〜8桁程度の番号やリンクURLなど）がよく使われます。

　また、企業・団体でも、テレワークの導入や、資産情報や個人情報などの重要情報の保護の観点から、業務システムのセキュリティ強化のために、パスワード以外の認証を追加し、二段階認証を導入している、または導入を進めているところもあると思います。

　今回は二段階認証を使うにあたって、「二段階認証がなぜ安全なのか」「どういう二段階認証なら大丈夫なのか」について考えてみましょう。

二段階認証は安全なのか

　認証は、利用者が持っている「認証情報」をサービス側が確認することで行われます。二段階認証の導入によって、不正を働こうという人は、1段階目と2段階目の両方の認証情報を手に入れなくてはならなくなります。パスワードだけの1段階よりも、手に入れなくてはならない情報が増えるので、困難になる。つまり、安全性が高くなるということです。

　ただし、1段階目と2段階目では、異なる種類の認証情報を用いるようにする必要があります。実際の二段階認証を導入しているほとんどのサービスでも、段階ごとに異なる種類の認証情報を使用して認証するように構築されています。

　なぜ段階ごとに異なる認証情報にするのでしょうか？　逆に、各段階で使用する認証情報を、「両方ともパスワード」にした場合と、「両方ともスマホを用いた情報」にした場合、どのようなことが起こるのか考えてみましょう。