「認証の回数が多いほど安全」は間違い？ 二要素認証のハナシ：今さら聞けない「認証」のハナシ（1/3 ページ）

[パスロジ，ITmedia]

　ほとんどの人が日常的に行っている「ログイン」「ログオン」「サインイン」といった認証の作業。この認証においては、漏えいしたパスワードデータを利用して、同じパスワードが使い回されたサービスに不正アクセスする「リスト型攻撃」や、推測されやすいパスワードを手当たり次第に使用してみる「総当たり攻撃」などによる事件が頻発し、課題となっています。

　こうした課題は、「サービス提供者側で対策するだけでなく、サービスの利用者も正しい知識を持って認証を利用することで、解決に近づく」と考えています。本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。

連載：今さら聞けない「認証」のハナシ

認証セキュリティ専門企業であるパスロジが、専門用語が飛び交いがちなセキュリティの知識・話題から、「認証」関連分野を中心にできるだけ分かりやすく紹介します。

　前回の記事では、導入が進んでいる「二段階認証」の安全性についての話や「認証の3要素」を紹介し、二段階認証では、各段階で2つの異なる要素を使用しないとコストに見合うだけのセキュリティ効果が得られないと書きました。

　実は、この2つの異なる要素を使った認証は「二要素認証」と呼ばれています。2要素を使った二段階認証は、正確に表すと「二段階・二要素認証」ということになります。また、二要素認証ではなく「多要素認証」と呼ばれることもあります。同様に二段階認証ではなく「多段階認証」と呼ばれることも。

　余談ですが、二段階認証、二要素認証、多要素認証のように、各個人の立場や、知識の入手状況・入手元、英語の原文の日本語翻訳時の解釈や精度などさまざまな要因で、同じ事柄が違う名称で表現されることがよくあります。IT界隈ですと、過去には「パソコン VS. マイコン」、最近では「テレワーク VS. リモートワーク」といったところでしょうか。

広く知られる「二段階認証」

　Googleトレンドで、二要素認証と多要素認証の検索数を過去1年間で比較してみたところ、ほぼ同等な感じでした。

　ここに、二段階認証を追加すると……。

　二段階認証が圧倒的に多く検索されているのが分かります。このままですと、一般的には二段階認証の名称が定着していきそうですが、二要素認証の方が「2要素を使用すること」を分かりやすく示しているので、そちらが定着してほしいなと個人的に思います。

　広く一般では二段階認証の方がメジャーな状況ではありますが、二要素認証と多要素認証の名称は、企業や団体がシステム構築する際に参照するセキュリティポリシーやガイドラインにおいて、よく使用されています。おかげさまで、パスロジにも「二要素認証を導入したい」というご相談をいただくようになりました。

　これらのご相談の多くは、既にあるパスワード認証に別の認証要素を追加することで、二段階・二要素認証を実現したいというものです。

　しかし実は、二要素認証は必ず2段階というわけではありません。1段階だけで二要素認証を成立させることもできます。そして、「一段階・二要素認証にしないとダメ！」となっているセキュリティポリシーがあったりします。