SNSやインターネットバンキングなどのサービスのセキュリティ設定の説明や、セキュリティ関連のニュースなどで、認証強化のキーワードとして「二要素認証」と「二段階認証」という言葉を見る機会が多くなってきました。この2つの言葉、似ているだけに、その違いをはっきりと分かっていない方も多いかもしれません。
今回は、間違えやすいこの2つの認証方式の違いを整理しておきましょう。
認証方式の種類
「二要素認証」と「二段階認証」の説明の前にまず、押さえてほしいのがコレ。
本人を認証する際に「何を使うか」、その方式には、主に以下の3種類があります。
ーーーーーーーーーーーーーーーーーーーーーー
・知識認証:本人だけが知っている知識で認証
例:パスワード、PINコード
ーーーーーーーーーーーーーーーーーーーーーー
・所有物認証:本人の持っている物(=所有物)で認証
例:ICカード、キャッシュカード、ワンタイムパスワード用トークン(ハードウェア・ソフトウェア)
ーーーーーーーーーーーーーーーーーーーーーー
・生体認証:本人の身体的特徴で認証
例:指紋、顔、静脈、虹彩
ーーーーーーーーーーーーーーーーーーーーーー
これらを「認証の3要素」と呼びます。
他にも、認証しようとしている場所や時刻で認証する方式もありますが、本人特定には至らないので、補助的手段に使われます。
従来は「パスワード認証だけ」というのが多かったのですが、パスワードの漏洩や解析などによる不正アクセスが増加してきたため、これに対抗して認証を強化するために、単一の認証要素だけでの認証ではなく「知識認証+所有物認証」「知識認証+生体認証」というように、二種類の認証要素を組み合わせて認証を行うことが推奨されるようになってきました。これが「二要素認証」です。
二要素認証にすると、万が一パスワードを不正に知ることができても、それだけでは不正アクセスができません。より安全な認証が実現できるので、最近ではこれに対応したサービスが増えてきています。
また、3つの要素を組み合わせることもあるので、二要素認証を包括して「多要素認証」と呼ぶ場合もあります。
二要素認証の例
二要素認証には、様々な認証要素の組み合わせがあります。
ATMでキャッシュカードと暗証番号を使うのは、一番身近な例ではないでしょうか。
オンラインバンキングでも、ログイン時に、IDとパスワードを入力し、さらに銀行から送られてきたハードウェアトークンに表示される番号や、暗号表で割り出した番号を入力させる「パスワード認証+トークンなどの所有物認証」が導入されています。
この場合、ユーザーは2つの認証要素を使って認証を行なっていることを認証の時に意識できます。
最近では、生体認証を組み合わせるケースも増えています。
たとえば、以前のパスクリ通信でも紹介した、銀行ATMでの暗証番号と静脈認証との組み合わせによる二要素認証です。あらかじめ静脈認証用の情報を銀行窓口で登録し、その静脈認証情報をICチップに埋め込んだキャッシュカードを発行してもらいます。
これを使ってATMで取引操作を行うときには、キャッシュカードの暗証番号という「知識認証」と、センサーに読み取らせた静脈情報という「生体認証」を組み合わせた二要素認証が行われ、取引ができるようになる、という仕組みです。
以上が「二要素認証」です。つぎに「二段階認証」についてご説明しましょう。
「二段階認証」とは
二段階認証も二要素認証と同様に、従来のパスワード認証などの単一認証の弱点をカバーし、認証を強化するために登場してきました。
その特徴は「認証プロセスが2段階に分けて行われる」ことにあります。
一番馴染みが深いのは、SNSなどのオンラインサービスで使われることが多い「SMS認証」でしょう。
まず、IDとパスワードを入力して認証を行います(一段階目の認証)。そうすると、登録されているスマホにショートメッセージサービス(SMS)を使って、数字4〜6桁程度の認証コードが送られてきます(このコードは毎回変わるので、ワンタイムパスワードでもあります)。
その認証コードを認証プロセスの画面に入力(二段階目の認証)することで、認証プロセスが完了する…というのがSMS認証です。
この例の場合、スマホに認証コードを送ってその認証コードを入力させる、という点から、スマホを所有していることが必要となる「所有物認証」を組み合わせた二要素認証でもありますが、この二要素の認証を一度に行うのではなく、最初のパスワード認証のあとに、認証先から送られてくるコードが届くのを待って、二度目の認証を行う、という点で二段階になっているので、二要素認証とは呼ばずに「二段階認証」と呼んでいるのです。
また認証コードをスマホのショートメッセージではなく、登録メールアドレスに送る場合は、スマホを使った「所有物認証」にはならずに「パスワードによる知識認証+メールサーバーへの接続用パスワードによる知識認証」ということになり、二要素認証は兼ねておらず、二段階認証ということになります。
このように二段階認証は認証プロセスが2段階あることを指すので、二種類の異なった認証要素を組み合わせたものとは限りません。
というわけで、「二要素認証」と「二段階認証」は別もので、「二要素認証」かつ「二段階認証」というのも有りうる、ということです。
ただし、規定やガイドライン、識者の見解などによっては、「二要素認証」は二要素をいっぺんに認証しなくてはいけない。二段階になったら「二要素認証」とは認めないとしている場合もありますので、ご注意ください。
P.S.
同じ方式の認証要素を2つ組み合わせた認証は、本来は二要素認証とは言わないのですが、最近では、たとえば「指紋認証+静脈認証」というように「生体認証+生体認証」などの同じ認証要素を2つ組み合わせた場合でも、二要素認証と言っちゃっているところもあるようです。
これは二要素認証ではありません。紛らわしいですが・・・。