二要素認証とは、IDとパスワードだけでなく、パスワードに加えてトークンや指紋など、計2つの要素を用いて本人確認を行うことです。今回の記事では、認証に用いられる3つの要素に触れながら、「多要素認証」「二段階認証」との違い、実際の使用例、アメリカ国立標準技術研究所(NIST)の認証に関するガイドラインなどを解説し、企業がこうした認証方式をどのような場合に用いるべきかを提案します。
二要素認証とは
インターネットにおける「認証」とは、たとえば、あるWebサービス等を利用しようとしているユーザが、本当にその本人であるか、その正しさを確認するプロセスや行為のことです。「二要素認証」とは、セキュリティ水準を高めるために、ふたつの要素を用いて認証を行うことです。
「KNOW」「HAVE」「ARE」、認証に用いる3要素とは
「要素」とは、認証に用いる情報等のことです。たとえば、あるWebサービスの利用時、IDとパスワードの入力が求められるのであれば、それは「IDを持つ人がこの人であるかどうかを確認するためにパスワードという要素が用いられている」ということになります。
要素には、パスワードのような「ユーザが知っていること(something you know)」、部屋のカギのような「ユーザが所持しているもの(something you have)」、指紋や虹彩(眼球の瞳の周辺にある膜)のような「ユーザ自身であるもの(something you are)」などがあり、このうちどれかふたつの要素を用いて認証を行うことを二要素認証と呼びます。
二要素認証を行えば、従来のようなパスワードだけを用いた認証よりも、セキュリティ水準を高めることができます。
「二要素認証」と「二段階認証」「多要素認証」の違い
過去に日本国内で普及していた認証方法に「二段階認証」があります。これは、パスワード入力の後に「秘密の質問」などを設けて、ユーザが知っていることを用いてもう一回認証を行い、セキュリティを高めようとするものです。
「多要素認証」とは、「ユーザが知っていること(something you know)」「ユーザが所持しているもの(something you have)」「ユーザ自身であるもの(something you are)」のうち、ふたつ以上の要素を用いて認証を行うことで、二要素認証は多要素認証に含まれます。
なお、多要素認証は英語では「MFA(Multi-Factor Authentication)」と表記され、2つの要素を用いる場合に「Two-Factor Authentication」という呼称が使われることがあります。
よくある「秘密の質問」は、セキュリティ的にはどうなのか
余談になりますが、「秘密の質問」を用いるタイプの二段階認証は、2020年現在、ユーザの認証手段に常時使われることは望ましくない、というのが多くの専門家の認識となっており、多要素認証が利用できない場合の非常代替手段として、またはアカウントの回復に用いる認証の一部として、限定的に用いられることが望ましいとされています。
もし秘密の質問を使う場合には、「(何年たっても思い出せる程度に)記憶できる」「(何年間も答えが変わらず)一貫性がある」「(どんなユーザでも)回答可能である」「(攻撃者が答えを知ることがない程度に)機密性が高い」「(どのユーザでもわかるように)明確である」という5つの条件を満たすことが望まれます(*)。
基準となるNISTのガイドライン
アメリカ国立標準技術研究所(NIST)が公開しているガイドライン「SP 800-63」(最新版は2017年公開の第三版「SP 800-63-3」)は、オンラインで行われる認証に関して最も参照されるドキュメントのひとつです。
同書は、NISTが考える「電子認証はこうあるべき」を記載したもので、「SP 800-63A」「SP 800-63B」「SP 800-63C」から構成されています。
SP 800-63Aでは認証やIDの管理全般について記述し、SP 800-63Bはトークン等の認証器の仕様として「AAL1」「AAL2」「AAL3」の三種類を定め、SP 800-63Cではフェデレーション認証について記述しています。
日本の経済産業省の規格も「SP 800-63-3」を参照して作られています。
LINE、Google、Facebook、Slack ~ 二要素認証・多要素認証を使用した具体例
すでに、LINEやGoogle、Facebook、LinkedIn、Slackなどの大手ITサービスでは、二要素認証・多要素認証が利用されています。スマートフォンやメールアドレス宛にパスコードを送る、「Authenticator」と呼ばれる認証用アプリにパスコードなどを表示させるなど、方法もさまざまです。
以前「ブルートフォース攻撃」に関する記事で解説したとおり、サイバー攻撃の激化・高度化にともなって、パスワードだけで認証する時代はもう終わりを迎えています。今後、二要素認証・多要素認証は上記に挙げた大規模なサービスにとどまらず、企業内でも積極的に活用されていくことでしょう。では、どんな場面でこれを用いればいいのでしょうか。
「企業が二要素認証・多要素認証を使うべき」2つのシナリオとは
SQAT.jpでは、「セキュリティのレベルが異なる領域間でのアクセスや通信」に対して、二要素認証・多要素認証を使うことをおすすめしています。
具体的な例を挙げると、「クラウドサービスを利用するために、社外のクラウドサービスのアカウントに社内からアクセスするとき」、そして、「テレワーク等の実施のために、社外からイントラネットなど社内にアクセスするとき」のふたつです。
特に、社外からイントラネットなど社内にアクセスするときは、トークンを使った多要素認証を用いたVPN接続をおすすめします。
なお、SNSやメールサービスなどのSaaSで、ユーザ本人のアクセスであることを確認する必要性が高いサービスなどでも、多要素認証が用いられることが多いといえます。社内からこうしたサービスにアクセスしている場合、当該サービスが多要素認証を適用しているか、適用できるような設定になっているかも確認してみてはどうでしょう。
クラウドサービス利用時はアイデンティティアクセス管理等、認証まわりに注意
SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、主要クラウド(IaaS)を対象としたセキュリティ診断サービスも提供していますが、診断の結果リスクを指摘される事項の大半が、認証に関わる問題です。クラウドサービスを、つい「オンプレミス環境の延長」あるいは「オンプレミス環境と同じ」と考えてしまうことで、誤った設定がなされてしまうことがあるようです。詳細は、「診断結果にみるクラウドセキュリティの今」で詳しく解説していますので、ぜひご覧ください。
まとめ
- 二要素認証とは、「KNOW」「HAVE」「ARE」という3つの認証要素の中の2つを用いて認証を行うことです。
- 二要素認証は多要素認証に含まれます。
- 二要素認証・多要素認証を行うことでセキュリティ強度を高めることができます。LINE、Google、Facebookなど多くのサービスでこの認証方式が使われています。
- NISTが公開したガイドライン「SP 800-63-3」は認証に関して世界で最も参照されるドキュメントのひとつです。
- セキュリティのレベルが異なる領域間でのアクセスや通信には、二要素認証・多要素認証を使うことをおすすめします。
- クラウドサービスを利用する場合は、認証関係の設定ミスに注意しましょう。
Security Report TOPに戻る
TOP-更新情報に戻る
