03-5835-2820
平日9:00~18:00
Zoom等オンラインでのご相談も可能です
ご相談はオンライン対応可能

近年、個人情報の漏えいや不正ログイン、なりすましを防止する有効な手段のひとつとして「2段階認証」を導入するWebサービスやアプリが増えています。

そこで今回は、システム構築側から見た2段階認証についてを紹介します。この記事で得られる情報は以下の通りです。

  • 2段階認証がなぜ必要なのか
  • 2段階認証とはどのようなものなのか
  • 2段階認証の実現方式
  • 既存システムに2段階認証を導入するには

この記事がお役に立ちましたら幸いです。

2段階認証がなぜ必要なのか

これまでの認証システムは、IDとパスワードを利用した単要素の認証方式が主流でした。本人確認を行うときにはIDとパスワードを入力して、その組み合わせが正しければ本人とみなす認証方式です。

Webサービスやスマートフォンアプリなどを利用する際、メールアドレスなどのIDとパスワードを入力してログインをした経験が皆さんにもあるかと思います。

この方式は、「パスワードを知っていること」が本人を確認する唯一のカギとなっています。パスワードが漏えいした場合や、単純なパスワード(“password”、”123456″、”000000″…など)を設定している場合は、他者でも容易にログインができてしまいます。

「他者に悪用されないように単純なパスワードを設定しない」ということは最低限の対策となりますが、複雑なパスワードを設定している場合でも安心はできません。複雑なパスワードを設定していても同じパスワードを使いまわしている場合、情報漏えいの危険性が高まります。

もしも同じIDとパスワードの組み合わせを複数のWebサービスで使用していて、そのうちのどこかの情報が何らかの原因で漏えいしてしまったとします。漏えいしたIDとパスワードを使用して手あたり次第ログインを試行されてしまうと、他のWebサービスにもログインされてしまう危険性があります。

近年は情報通信技術が進化し、ネットショッピングの利用やクレジットカード・電子マネー決済がスマホでもできるようになりました。便利な反面、不正アクセスやスマホの紛失、盗難などによってIDやパスワードが流出し、他者に悪用されてしまう危険性が増しているといえます。

このような背景から、パスワードによる認証以外の要素で認証を行う必要が出てきました。もしもIDとパスワードによる1段階目の認証が突破されてしまっても、2段階目の別の要素での認証ではブロックできる可能性が高まるため、2段階認証の需要が高まっています。

2段階認証とは

2段階認証とは、IDとパスワード以外の2つ目の「要素」を追加して認証を行うことです。「パスワードを知っていること」以外の2つ目の要素として、以下のような要素を用いて認証を行います。

あらかじめ登録された生体認証(静脈、光彩など)が本人と一致すること
あらかじめ配布されたデバイスを持っていること(USB方式のキー、ICカードなど)
会員情報として登録されている電話番号を所有していること(電話が繋がること)
会員情報として登録されている電話番号に対応するスマートフォンを所有していること(SMSを利用)
あらかじめ会員情報に紐づけて発行されるワンタイムパスワードを入力できること(専用のデバイスやスマートフォンアプリを利用)
会員情報として登録されているメールアドレスを所有していること

このいずれかの要素を利用して認証作業を2回行うことで、他者による不正ログインやなりすましを防止できるとされています。

生体認証やデバイスを利用した認証は事前の登録やデバイスの配布が必要となるため、銀行ATMやオンラインバンキングなどには適しています。しかしSNSやWebサービスなどでは、事前の手続きが煩雑になり時間も費用もかかります。また、会員登録の敷居が高くなることから、ユーザーが会員登録に消極的になってしまうデメリットがあります。

このような背景から、新たにデバイスなどを用意せずに既存の電子メール、電話回線、SMS、スマートフォンアプリを使用して2段階認証を実現する方法が現実的であり、採用されるケースが多い傾向にあります。

2段階認証の実現方式

デバイスを用意せずに2段階認証を行う方式をいくつか紹介します。主にメール、電話番号(音声ガイダンスもしくはSMS)、アプリを通じてワンタイムパスワードが発行され、それを認証する方式です。

ワンタイムパスワードは、1度使用したら再利用はできないパスワードです。また、使用していなくても一定時間がくると新しいパスワードに更新されるため、他者に知られるリスクが低く、安全性が高いといえます。

メール方式

メール方式は、あらかじめ会員情報としてメールアドレスが登録されている必要があります。IDとパスワードの認証が正常に完了した時点で、登録されているメールアドレス宛にワンタイムパスワードを送付します。

ユーザーはメールを受信し、メールに記載されているワンタイムパスワードを入力し、正しいワンタイムパスワードを入力した場合のみログインが可能になります。

これはパスワードを知っていることに加え、「メールアドレスを所有していること」を2つ目の要素として追加し、2段階認証を実現しています。

他人のメールアドレスを使用している場合やでたらめなメールアドレスを使用している場合は、この認証を通過することができません。しかし、他人のメールアドレスのパスワードまたはメールが受信できるスマートフォンなどを盗み、メールを受信できる状況であれば通過できてしまいます。

電話音声ガイダンス方式

音声ガイダンス方式は、あらかじめ会員情報として電話番号が登録されている必要があります。IDとパスワードの認証が正常に完了した時点で、登録されている電話番号あてにワンタイムパスワードを通知する自動音声アナウンス通話が行われます。

ユーザーは音声アナウンスを聞き、ワンタイムパスワードを入力し、正しいワンタイムパスワードを入力した場合のみログインが可能になります。

これはパスワードを知っていることに加え、「登録している電話番号に通話が繋がること」を2つ目の要素として追加し、2段階認証を実現しています。

この場合でも携帯電話やスマートフォンを盗まれてしまう、固定電話の場合は電話が受信できる場所に侵入されてしまうといった事態が起きたときにはこの認証を通過できてしまいます。

SMS方式

SMS方式も音声ガイダンス方式と同様に、あらかじめ会員情報として電話番号が登録されている必要があります。IDとパスワードの認証が正常に完了した時点で、登録されている電話番号あてにSMSが送られてきます。

SMSのメッセージ内にワンタイムパスワードが記載されており、そのワンタイムパスワードを入力し、正しいワンタイムパスワードを入力した場合のみログインが可能になります。

「SMSが受信できる携帯電話・またはスマートフォンを所有していること(固定電話は不可)」を2つ目の要素として追加し、2段階認証を実現しています。

前述の電話音声ガイダンス方式と同じく、携帯電話・スマートフォンを不正に手に入れた場合はこの認証を通過できてしまいます。

アプリ方式

アプリ方式はスマートフォンに専用アプリをインストールしておき、認証対象のサイトにて2段階認証の設定を有効にした際に発行されるIDを専用アプリに登録しておきます。

代表的なものとしては「GoogleAuthenticator」があります。GoogleAuthenticatorアプリをインストールし、対象のサイトにて2段階認証の設定を有効にした際に発行されるQRコードを読み取ってアプリに登録しておくことで利用ができます。

登録が済むとスマートフォンアプリの画面に数十秒間隔でワンタイムパスワードが発行されるようになります。IDとパスワードの認証が正常に完了した時点で、ワンタイムパスワードを入力し、正しいワンタイムパスワードを入力した場合のみログインが可能になります。

アプリ方式は、電話音声やSMSに比べて素早く認証を済ませることができます。しかし、あらかじめアプリをインストールをしたうえでの登録手続きが必要になるため、電話やメールに比べると敷居が高くなります。

前述の「電話音声ガイダンス方式」と同じく携帯電話、スマートフォンを不正に手に入れた場合はこの認証を通過できてしまいます。

2段階認証を既存のシステムに導入するには

2段階認証を導入していないシステムには、追加実装という形で2段階認証を導入することが可能です。

2段階認証を追加で導入する場合は、導入対象のシステムの個人情報の収集状況を確認します。そこから、どの要素を利用して認証するかをお客様とシステム開発会社で話し合います。

メールアドレスを必須入力・または会員IDにしている場合は、メール方式が採用できます。電話番号を必須入力にしている場合は、電話音声ガイダンス方式、もしくはSMS方式が採用できます。

上記2つに該当しない場合はアプリ認証方式が採用できます。

また、メールアドレス、電話番号が必須入力の状態でない場合でも、2段階認証を利用したいユーザーには必要な情報を入力してもらうようにすることで、実現が可能になります。

自社のシステムに導入が可能かどうかの診断や費用のお見積については、弊社でも対応しておりますのでお気軽にお問い合わせください。お問い合わせはこちらから

2段階認証とは?まとめ

2段階認証は、デバイスを別途用意せずとも収集した情報を利用して導入することができます。また、Webサービスやアプリの利用者も積極的に2段階認証を利用することで、個人情報のセキュリティを高めることができます。

従来の単要素方式に比べてログインする手間が少し増えますが、提供しているサービスの利用者や数多のサービスを利用している自身の安全を守る手段として、2段階認証を活用していただければ幸いです。

最後までお読みいただき、ありがとうございました。