2段階認証や2要素認証について考えてみた!

先日、Appleが新商品や新サービスを発表する「Apple Event」を9月15日に開催すると発表し、大きな話題となりました。モバイル業界界隈では毎年恒例のイベントでもあり、決まって新型のiPhoneシリーズが発表されてきたことから、今年も新型iPhoneやその周辺機器および新たなデバイスへの期待が高まっています。

筆者は仕事・私事ともにiPhoneを愛用しており、その進化を体に刻むべく、iPhone 3G以来毎年必ず買い替えてきました。もはや端末の買い替えやデータ移行作業はお手の物……と言いたいところですが、実は未だに「これとこの作業は絶対に忘れないように」と、自分用にまとめた備忘録を見ながら恐る恐るデータ移行作業をしている始末です。

そんな中でもとくに気を使うのは、ネットバンキングやオンラインゲームなどで使用するワンタイムパスワードアプリです。何の準備作業も必要なくデータ移行が可能なアプリもありますが、中には一旦解除作業を行い、新端末で改めて登録作業を行わないとロックがかかって利用不可能になるアプリもあるため、作業手順を間違えるととんでもない事態に陥ってしまいます(過去に数回やらかしている)。

そんな取り扱いの面倒なワンタイムパスワードアプリですが、それでも筆者は絶対に必要なアプリであり、必要な手順であると確信しています。オンラインサービス全盛の今、パスワードや生体認証など様々な認証システム(認証方式)が存在しますが、それら1つ1つにも正しく存在している理由があります。

感性の原点からテクノロジーの特異点を俯瞰する連載コラム「Arcaic Singularity」。今回はオンラインサービスで用いられる認証システムや2段階認証および2要素認証について解説します。

as-197-002
意外と知らない認証システムのあれこれ


■様々なオンライン認証システム
はじめに、私たちが一般的に利用しているオンライン認証方式にどのようなものがあるのか列挙してみます。

・パスワード
・暗証番号
・合言葉
・スマートフォン(スマホ)
・身分証明書(免許証など)
・社員証
・IDカード
・指紋
・静脈
・顔
・虹彩
・声紋

オフラインでは他にも物理的な鍵や印鑑なども用いられますが、恐らくこのくらいだと思います。身分証明書や社員証などはそのままではデータ化されない(送信できない)ため、スマホのカメラなどで読み込んだものを提示する、といった使い方になります。

認証システムとしてのスマホというのは、電話番号で紐付けされたSMSに2要素認証用のワンタイムパスワードが送られてくることなどを指します(2要素認証については後述)。またNTTドコモのように、モバイル通信そのものによる端末の固有情報を認証システムとして用いる方法などもあります。

そしてこれらの認証システムは、主に3つのファクター(要素)に分類することが出来ます。ユーザーしか知り得ない情報を利用する「知識要素」、ユーザーしか持っていない物を利用する「所有要素」、そしてユーザー自身の身体的特徴を利用する「生体要素」です。

これらを上記の認証方式に当てはめると、以下のようになります。

【知識要素】
・パスワード
・暗証番号
・合言葉

【所有要素】
・スマートフォン(スマホ)
・身分証明書(免許証など)
・社員証
・IDカード

【生体要素】
・指紋
・静脈
・顔
・虹彩
・声紋


これらの認証方式にはそれぞれ一長一短があります。

例えばパスワードや合言葉は、非常にシンプル且つ手軽でシステム構築の容易な認証方式として古くから用いられています。

それこそ2000年近く昔のペルシャ王朝時代に編纂が始まり、約1000年前に原型が完成した「千夜一夜物語」に収録されている「アリババと40人の盗賊」にも、「開けゴマ!(ゴマよ、扉を開け!)」という合言葉が登場します。

こういった合言葉やパスワードを用いたセキュリティは、道具を必要としないほど簡便であるが故にリスクも高く、他人に知られてしまうと簡単に突破されてしまいます。まさにアリババが盗賊の財宝を奪えた理由が、この「セキュリティリスク」を突いたものでした。

as-197-003
強欲なアリババの兄・カシムは、アリババから合言葉を聞き出し財宝の洞窟へ入るが合言葉を忘れて閉じ込められ、その後盗賊に見つかって殺されてしまった
マックスフィールド・パリッシュ - Arabian Nights



他の認証方式にもリスクは存在します。所有要素である社員証やIDカードの場合、カード自体を偽造されてしまう可能性があります。最も安全性が高いとされる生体認証であっても、認証制度が低いと顔写真で認証されてしまったり、写真に写った指先の画像から指紋をコピーされて認証を突破されてしまう、といった被害やリスク警告が報告されています。

また、単純なセキュリティリスクのみならず、生体認証では顔や指に怪我を負い認証システムを通らなくなるといったリスクもあります。そもそも生まれつき指がない、目が見えないなどで生体認証を使えないという人もいます。

そこで考えられたのが、2つの要素を用いて認証を行う「2段階認証」および「2要素認証」です(3つ以上の要素を用いる多段階認証や多要素認証もある)。

as-197-004
毎日利用するオンラインサービスだからこそ、認証システムは便利でありつつ、より安全でなければいけない


■2段階認証と2要素認証の違い
2段階認証と2要素認証は混同しがちで、実際同義のように使われることもありますが、「複数の要素を使うか否か」という違いがあります。

例えばIDとパスワードで認証を行った後、もう一度別の認証方式によって認証を行うことを2段階認証と呼びますが、この2つの認証に用いる要素が同じ場合はそのまま2段階認証と呼び、異なる要素の認証方式を用いる場合は2要素認証と呼び分けたりします。

as-197-005
混同しがちだが厳密には意味が違う


「それなら2要素認証は2段階認証に内包される認証システムかな?」と思われるかも知れませんが、そうとも限らないのが難しいところです。

例えば筆者が毎日利用しているオンラインゲームのログインシステムでは、ログインIDと文字列によるパスワード、そしてワンタイムパスワードが用いられますが、パスワードとワンタイムパスワードはクライアントアプリの同じ画面上で同時に認証されます。

つまり、2段階ではなく1段階で2つの要素を認証するのです。そのため、この2要素認証は2段階認証とは呼びません。

as-197-006
セキュリティのみを考えるなら、2つの要素を2段階に分けて認証するメリットはあまりない


逆に、認証システムの仕組み的に2段階にせざるを得ない場合もあります。

例えば知識要素としてIDとパスワードによる認証を採用し、所有要素としてスマホによる認証を採用した場合、IDおよびパスワードを入力した後にスマホの電話番号へSMSでワンタイムパスワードを送信するケースがあります。

このような手順の場合は認証を2段階に分けざるを得ないため、「2要素認証であり、尚且つ2段階認証である」というシステムになります。

こういったシステムはユーザーの手間が増える一方で、ユーザー側でワンタイムパスワードアプリなどを管理しなくて良いメリットがあります。冒頭で書いたように、ワンタイムパスワードアプリはそのアプリ自体の登録や機種変更に伴う解除・更新手続きを必須とする場合があり、解除忘れなどによる事故のリスクがあります。

ワンタイムパスワードアプリは普段は通信を必要とすることなく手元のスマホだけで認証作業が完結するため、通信を必須とするSMS認証と違って通信できない場所でも使えると言ったメリットもあり、ここでもそれぞれに一長一短があることが分かります。

as-197-007
スマホによるSMS認証は本人確認として非常に有効な手段だが、通信ができないと利用できない


■自分自身を守るための認証システム
ここ数年の通信業界を振り返ると、大規模な不正利用事件だけでも、7Pay、PayPay、ドコモ口座等々、多数起こりました。

いずれの事件もアカウント作成時やアカウントの移行手続きの不備を突いた不正利用であり、2段階認証や2要素認証を正しく運用していなかった(もしくはそもそも1段階しか認証システムがなかった)ことに起因しています。

仮に2段階認証や2要素認証を正しく運用していたとしても、絶対に不正利用されないということではありません。しかしながら、1つの要素のみで構成される認証システムよりは遥かに強固であり、とくに所有要素や生体要素を組み合わせた認証システムは本人確認という点で非常に強いセキュリティを持ちます。

例えばスマホの場合、そもそもスマホ自体がパスワードや生体認証でロックされていることが多く、その点を踏まえるなら3段階認証や3要素認証と言っても良いかも知れません。

as-197-008
スマホ自体がカギ(セキュリティ)として機能している


「パスワードなんて面倒」、「いちいちSMSのワンタイムパスを見るのが煩わしい」……そのように考える人も少なくないかも知れませんが、全ては自分のプライバシーや財産を守るために必要な仕組みです。時には共に暮らす家族や自分自身の身の安全にすら関わってくる問題でもあります。

iPhoneユーザーの中には、マスクをしたままではFace ID(顔認証)が通らないため端末のロック解除を無効化している(スマホをロックしていない)という人が少なからずいるようですが、セキュリティの面から考えれば絶対にオススメできません。多少面倒でもFace IDは利用するようにしてください。

15日に発表される(と思われる)次期iPhoneでは、マスクをしたままでもFace IDが使えるように強化されるとの噂もありますが……ぜひその噂通りの性能および機能であることを期待したいところです。

as-197-009
スマホメーカーには、どんな機能よりもセキュリティ機能の高さと使いやすさを最優先で考えていただきたい


記事執筆:秋吉 健


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
連載「秋吉 健のArcaic Singularity」記事一覧 - S-MAX