本当に安全？ 「二段階認証」のハナシ：今さら聞けない「認証」のハナシ（3/3 ページ）

[パスロジ，ITmedia]

「認証の情報」は3種類

　認証に使われる情報は次の3種類に分けられます。これは「認証の3要素」と呼ばれています。

• 知識（Something you know）：あなたが知っていること

（例：パスワード、暗証番号、秘密の質問、パターンなど）

• 所有（Something you have）：あなたが持っているもの

（例：ICカード、スマホアプリ、携帯電話用SIMカード（SMSメッセージ用）、ハードウェアトークン、USBトークンなど）

• 生体（Something you are）：あなた自身のもの。身体的特徴

（例：指紋、顔、静脈、虹彩など）

　先に挙げた二段階認証導入済みサービスをはじめ、ほとんどの二段階認証では、知識要素であるパスワードと、所有要素である「登録済みの自分の」スマホといった異なる2つの要素を利用しています。

　二段階認証の各段階で使用する認証情報を別々の要素にすることで、「パスワードが分かっても、個人を特定してスマホを入手しなければならない」「スマホを入手したとしても、パスワードを推測しなければならない」といった具合に、不正利用者側の手間が増え、情報入手難易度が劇的に上がり、セキュリティ向上につながるわけです。

　認証の3要素は、あくまでも「利用者が、利用者本人であることを確認する」本人特定のために使われるものです。

　これ以外にも、「場所」「時間」「画像を正確に認識できるかどうか」などの要素があるのですが、これらは「その人物が正当な本人か」を識別するのには使用されません。あくまで利便性を上げるために補助的に使われたり、その利用者がどういう状況にあるかを識別するのに使われたりします。

　皆さんも、認証を利用する際に、どの要素に当てはまる情報を使用しているのかを意識してみてください。

　もし、一般のサービスや会社の業務システムで、「同じ要素を重ねて使用する二段階認証」を採用している（採用しようとしている）場合、それは手間やコストのわりに効果的ではないセキュリティ対策です。何らかの手を打ったほうが良いかもしれません。

まとめ

　今回は、私たちにとって身近になってきた二段階認証や、認証情報の種類を指す「認証の3要素」について紹介しました。次回以降も、認証の安全性を高めるために知っておきたい内容や、認証システムを導入する企業担当者に役立つ話題などを取り上げていきます。