2019年7月17日水曜日

【5分で分かる】二段階認証とは

近年、大きな情報漏洩事件が複数発生しています。その影響で個人のパスワードがダークウェブ等で公開され、ハッカーによる攻撃の危険性も高まっています。本ブログでは以前「パスワードの定期的変更」に関する認識を改めましょうという記事でパスワードの認識を見直すべきとご紹介しましたが、パスワードのみでセキュリティを確保するのは難しいという問題がありました。 今回はクラウドサービスをよりセキュアに利用するための次のステップ、二段階認証をご紹介します。

二段階認証とは?

二段階認証(または二要素認証、略:2FA)とは、アカウントの本人確認を行うのに要求される要素(認証方式)が二つであることを意味します。また、その要素が二つ以上の場合は多要素認証とも言いますが、シンプルに説明するため、本記事では二段階認証と呼ぶこととします。二段階認証の目的は主にパスワードや個人情報の漏洩に関する危険性を減少させることにあります。以下、実例として銀行ATMでの利用シーンで説明してみましょう:
  1. 銀行ATMにキャッシュカードを入れる(一番目の認証方式)
  2. 暗証番号を入力する(二番目の認証方式)
上記のようにキャッシュカードの所持、暗証番号の入力という二つの条件が満たされなければ銀行ATMを利用することはできません。

二段階認証を実現するためのツールでアカウントをセキュリティリスクから守る


上記のATMの例のように皆さんが普段から利用しているサービスのアカウントを二段階認証で守るためのツールをいくつかご紹介します。

二段階認証においてID・パスワードに続く2番目の認証方式としてはよく利用されるのはワンタイムパスワード(略:OTP)でしょう。ワンタイムパスワードの種類(配布方法)は多数存在します。例えば、まだ使ったことがない端末からあるサービスへログインしに行くと、確認番号がメールに送られたり、携帯端末にSMSで送られたりする仕組みはワンタイムパスワードの一つと言えます。
また、セキュリティトークンと呼ばれるワンタイムパスワードを生成する機械やソフトウェアを使うこともあります。皆さんもオンラインバンキング等で以下の写真のようなものを使ったことがあるかもしれません。画面にパスコードがあり、片方にカウントダウンバーが表示されます。時間が切れるとパスコードが変わり、新しく生成されます。


ID・パスワードの入力後、別の項目としてパスコードを入力し、両方の値が正しければログインが成功します。
ただ、すべてのサービスへのアクセスのために、このようなアイテムをいつも持ち運ぶのは面倒だったりします。最近ではお手持ちのスマホにアプリをインストールすることで簡単にワンタイムパスワード仮想デバイスを用意することができます。代表的なアプリとしてはGoogle認証システム(英:Google Authenticator)が有名で、Google Play StoreiOS App Store から無料でダウンロード可能です。
このアプリを利用した二段階認証に対応したクラウドサービスは増えていますので、ご利用をぜひともおすすめします。メールプロバイダーのパスワード漏洩が多く報告されているため、パソコンと全く違う端末でワンタイムパスワード生成のトークンを使うとより安全でしょう。設定方法は各クラウドサービスによって違いますが、一般的にはセキュリティ設定から変更・設定できます。

なお、ワンタイムパスワード以外にもパスワードと共に使用できる認証方式はたくさんあります。他によく見かけるのはクライアント証明書認証端末認証です。こちらはワンタイムパスワードのようにパスコードを入力しなくても良いため、非常に便利ではありますが、証明書発行や更新、端末認証のための運用コスト、ソフトウェアコストがかかるため、情報システム部がある企業ならともかく、個人での利用はハードルが高いと思われます。

二段階認証の次は?

ワンタイムパスワードの二段階認証を利用することでアカウントや個人情報をよりしっかりと守れることを説明してきましたが、本当にこれだけでセキュリティが確実に担保できるのでしょうか?例えばフィッシング等といった、システムより人間を狙った攻撃(中間者攻撃)による不正アクセス被害はどうでしょうか。この場合、中間者がユーザーに偽のログインページを表示し、入力された情報(ユーザー名、パスワード、ワンタイムパスワード等)を本当のサービスに送り、不正アクセスできてしまう場合が少なくありません。二段階認証はIDパスワード認証のみより安全とはいえ、機密情報に対する強度としてはまだまだ十分とは言い切れません。

セキュリティをより強化するため、二段階認証の使用に加えて、シングルサインオン(SSO)やIDaaSサービスの使用をおすすめします。これにより、ご利用しているサービスが増えることによる仮想デバイス管理の複雑さを抑えることが期待できます。更には、認証方式に加え、IP制限等の認可制限や先述のクライアント証明書認証を追加することにより、フィッシングや他の攻撃のリスクを下げることも可能になります。


いかがだったでしょうか。情報漏洩事件が毎年複数回起きる現在、今後も二段階認証の有用性は増していくと思われます。みなさんの個人情報と、ビジネスの機密情報をどう守るのか、ご検討されてみてはいかがでしょうか。

 Gluegent Gate