Written by WizLANSCOPE編集部
目 次
二段階認証とは、2回の認証手続きを経て本人確認を行うことで、セキュリティの強化を図る認証方式です。
一般的には、ログイン画面でIDとパスワードを入力した後に、追加でワンタイムパスワードを入力や、SMS・認証アプリによる確認などが行われます。
これにより、万が一パスワードが漏洩した場合でも、不正ログインのリスクを大幅に低減できます。
近年は、サイバー攻撃が高度化・巧妙化しており、従来の「IDとパスワードだけ」の認証方法では、十分な防御が難しくなっています。
そのため、二段階認証や多要素認証を活用した認証強化が、企業・組織にとって欠かせないセキュリティ対策となっています。
本記事では、二段階認証のメリットや注意点、種類などを解説します。
▼本記事でわかること
- 二段階認証の仕組み
- 二段階認証の必要性
- 二段階認証のメリット
- 二段階認証の注意点
また本記事では、クラウドサービスにおける認証の最適化をサポートする「クラウドセキュリティ診断」についても紹介しています。
認証強化・認証最適化を目指す企業・組織の方は、ぜひご一読ください。
二段階認証とは
二段階認証とは、Webサービスやアプリケーションにログインする際に、ID・パスワードの入力に加え、ワンタイムパスワードや認証アプリによる確認など、追加の認証手続きを行うことで、2段階で本人確認を行う認証方式です。
認証を2つの段階に分けることで、仮に一段階目のパスワードが漏洩した場合でも、第三者による不正アクセスのリスクを大幅に低減できます。
サイバー脅威が高度化する近年、企業の情報資産を守るためには、IDとパスワードのみの認証に依存せず、二段階認証などによる認証強化を行うことが、企業・組織にとって欠かせないセキュリティ対策となっています。
二段階認証と二要素認証の違い
二段階認証と混同しやすい認証方式に、「二要素認証」が挙げられます。
両者は似ているように見えますが、定義が異なります。
認証には、一般的に以下の3要素が用いられます。
| 知識情報 | ・パスワードなどの特定のユーザーのみが知っている情報 |
|---|---|
| 所持情報 | ・スマートフォンやICカードなど利用者本人が所持している情報 |
| 生体情報 | ・指紋や静脈、顔、虹彩など、本人固有の身体情報 |
二段階認証は、前述の通り「2回に分けて本人確認を行う」認証方式です。
つまり、使用する認証要素が同じであっても、2回の認証を行えば、「知識情報」と「知識情報」であったとしても、二段階認証に該当します。
一方で二要素認証は、「異なる2つの認証要素を組み合わせる」認証方式です。
そのため、認証の回数よりも、異なる要素を使用することが、二要素認証の条件となります。
それぞれの具体例としては、以下が挙げられます。
| 二段階認証 | パスワード(知識情報)+秘密の質問(知識情報) パスワード(知識情報)+指紋認証(生体情報) |
|---|---|
| 二要素認証 | パスワード(知識情報)+ワンタイムパスワード(所持情報) パスワード(知識情報)+顔認証(生体情報) |
二段階認証の必要性
二段階認証が必要な理由とされる背景には、「ID・パスワードのみ」に依存した認証方式の限界があります。
サイバー攻撃手法の中には、想定されるパスワードを総当たりで試行する「ブルートフォース攻撃」や、特定のパスワードを複数のアカウントに対して試す「リバースブルートフォース攻撃」などが存在します。
特に、推測されやすいパスワードや使い回されたパスワードなど、脆弱なパスワードを設定している場合、これらの攻撃によって容易に認証を突破されるリスクがあります。
さらに、過去の情報漏洩事件などで流出したID・パスワードのリストがダークウェブで売買され、 別のサービスへの不正ログインに悪用されるケースも報告されています。
このように、従来のパスワードのみの認証では、十分な防御が困難な状況になっているため、仮にパスワードが漏洩した場合でも、不正ログインのリスクを低減させる手段として、二段階認証の重要性が高まっています。
二段階認証を導入するメリット
二段階認証を導入するメリットとしては、以下が挙げられます。
- セキュリティの強化
- パスワード管理の負担軽減
それぞれ解説します。
セキュリティを強化できる
二段階認証を導入することで、認証のプロセスが複数段階となるため、万が一パスワードが漏洩したとしても、不正に認証を突破されるリスクを大幅に低減することができます。
また、指紋や顔認証などの生体情報は、パスワードのように推測や使い回しができないという特性があります。そのため、認証に生体認証を組み合わせることで、認証強度の向上が期待できます。
このように、複数の認証要素を組み合わせることで、より高いセキュリティレベルを実現できます。
パスワード管理の負担が軽減できる
ID・パスワードのみの認証では、セキュリティを強化するために、長く複雑なパスワードをサービスごとに個別に設定し、適切に管理する必要があります。
しかし、クラウドサービスの業務利用が増えた近年では、管理すべきID・パスワードの数が増大し、すべてを安全かつ適切に管理することは容易ではありません。
その結果、パスワードの使い回しや、推測されやすい簡単なパスワードの設定といった行為が発生しやすくなり、かえってセキュリティリスクが高まる危険性があります。
そこで、二段階認証を導入することで、パスワードに加えて、所持情報や生体情報などを組み合わせて認証を行えるようになり、万が一パスワードが漏洩した場合でも、不正ログインを防止しやすくなります。
この結果、パスワードのみに依存しない認証体制を構築することができます。
二段階認証の注意点
セキュリティ強化に有効な二段階認証ですが、以下のような注意点もあります。
- ログイン時の手間が増える
- 二段階認証を突破するフィッシング詐欺もある
二段階認証の導入を検討する際は、以下の注意点もあらかじめ把握するようにしましょう。
ログイン時の手間が増える
二段階認証を採用すると、認証ステップが2回になるため、ログイン時の手間が物理的に増えることになります。
認証にかかる従業員の負担を減らすためには、直感的な操作で認証が完了する生体認証を取り入れることが推奨されます。
二段階認証を突破するフィッシング詐欺もある
正規サイトと酷似したフィッシングサイトにユーザーを誘導し、ID・パスワードを入力させて認証情報を奪う従来型のフィッシング詐欺に対しては、二段階認証は有効に働きます。
しかし近年では「リアルタイム型フィッシング詐欺」と呼ばれる新たなフィッシング詐欺の手口が登場しており、これは二段階認証であっても突破される危険性があります。
この手口では、攻撃者が偽サイトを通じてユーザーの入力情報をリアルタイムで正規サイトに中継します。
ユーザーがIDやパスワードを入力すると、その情報が即座に攻撃者に送信され、さらにワンタイムパスワードなどの情報も同様に窃取されます。
その結果、攻撃者は認証情報をリアルタイムで利用し、不正送金などの操作を迅速に実行できてしまいます。
▼リアルタイム型フィッシング詐欺のイメージ
リアルタイム型フィッシング詐欺の被害にあわないためには、以下の項目に注意することが重要です。
- 不審なメールやSMSに記載されているリンクを安易に開かないこと
- 公式サイトへのアクセスは、ブックマークや正規URLから直接アクセスする
- 不自然なタイミングで表示される認証コードの要求画面には対応しない
特に、身に覚えのないタイミングで認証コードの入力を求められた場合は、直ちに操作を中止することが重要です。
二段階認証の種類
二段階認証には、以下のような種類があります。
- SMS認証
- ハードウェアトークン認証
- 音声認証
- 認証アプリ
それぞれの特徴を簡単に紹介します。
SMS認証
SMS認証とは、登録した電話番号宛てにワンタイムの認証コードを送信し、そのコードを入力することで本人確認を行う方式です。
携帯電話番号さえあれば利用できる手軽さに加え、ログイン時に登録されたデバイスを持っていることが前提となるため、ID・パスワードのみの認証と比べるとセキュリティを強化できます。
一方で近年では、SIMスワップ攻撃やフィッシングサイト上で認証コードを入力させる手口などにより、認証コードを窃取される事例も報告されています。
そのため、SMS認証は一定の効果はあるものの、より強固な認証方式と併用することが望ましいとされています。
ハードウェアトークン認証
ハードウェアトークンとは、一定時間ごとにワンタイムパスワードを生成する専用機器のことです。
主に金融機関や企業の管理者アカウントなど、高度なセキュリティが求められる場面で利用されています。
インターネット接続を必要とせず、機器単体で認証コードを生成できるため、オフライン環境でも利用可能です。
また、SMS認証のように通信経路を悪用されるリスクも比較的低いです。
一方で、機器の配布や管理コストが発生することや、紛失時の対応が必要になるといった運用面の課題もあります。
音声認証
自動音声で読み上げられた認証コードを入力する方法もあります。
音声認証は、通話回線が利用されるため、データ通信環境が不安定な場合でも利用することが可能です。
また、認証コードがメッセージとしてデバイスに保存されにくいため、SMSよりも履歴が残りにくいという特徴があります。
一方で、電話番号が乗っ取られるリスクや、通話を第三者に転送されるリスクがあるため、SMS認証と同様に注意が必要です。
認証アプリ
専用の認証アプリを利用してワンタイムパスワードを生成する方式もあります。
Google Authenticatorなどの認証アプリをデバイスにインストールし、利用するサービスアカウントと紐づけることで利用できます。
アカウントと紐づけると、ID・パスワード入力後に認証コードの入力が求められ、認証アプリに表示されているコードを入力する仕組みです。
スマートフォンを所持していれば誰でも使用でき、ハードウェアトークンのように別途デバイスを持ち運ぶ必要がないため、利便性が高いというメリットがあります。
ただし、スマートフォン自体がマルウェアに感染した場合はリスクがあるため、デバイス自体のセキュリティ対策も重要になります。
認証最適化に「LANSCOPE プロフェッショナルサービス」
お使いのクラウドサービスにおいて、「二段階認証」「多要素認証」を含む認証設定の最適化を図る方法として、LANSCOPE プロフェッショナルサービスが提供する「クラウドセキュリティ診断」を紹介します。
本診断では、知識豊富なエキスパートが、お客様のAWS、Microsoft 365、Microsoft Azureなどのクラウド環境を対象に診断を実施します。不正アクセスや情報漏洩につながる設定ミスや設定漏れを着実に発見し、具体的な解決策をご提案します。
CISベンチマークや JPCERT・IPA の発信する「クラウド設定に関する最新情報」を継続的に収集し、診断ルールへ反映するため、いつでも最新のセキュリティルールに則った診断が実施可能です。
また対応可能なクラウドサービスは多岐にわたるため、幅広いお客様のクラウド設定の不安解消に、お力添えすることが可能です。
▼対応可能なクラウドサービスの診断一覧
- Microsoft 365 セキュリティ診断
- Google Workspace セキュリティ診断
- Salesforce セキュリティ診断
- Amazon Web Services(AWS)セキュリティ診断
- Microsoft Azure セキュリティ診断
- Google Cloud Platform(GCP)セキュリティ診断
- Zoom セキュリティ診断
- Box セキュリティ診断
- Slack セキュリティ診断
「二段階認証(多要素認証)」を含む、クラウドサービスのセキュリティ対策に興味のある方は、以下ページをご覧ください。
また「Microsoft 365」限定で、より診断ポイントを厳選しお手頃な価格で診断を行う「健康診断パッケージ」というサービスも提供しています。
まとめ
本記事では「二段階認証」をテーマに、その概要や必要性、導入メリットなどを解説しました。
▼本記事のまとめ
- 二段階認証とは、ID・パスワードの入力に加え、ワンタイムパスワードや認証アプリによる確認など、追加の認証手続きを行うことで、2段階で本人確認を行う認証方式
- 二段階認証が求められるようになった背景として、「ID・パスワードのみによる認証の限界」が挙げられる
- 二段階認証のメリットとしては、「セキュリティを強化できる」「パスワード管理の負担が軽減できる」などが挙げられる
- 二段階認証には、「ログイン時の手間が増える」「二段階認証を突破するフィッシング詐欺もある」といった注意点もあるため、企業・組織には導入・運用方法に工夫が求められる
近年、サイバー攻撃の手口は高度化・巧妙化しており、ID・パスワードのみの認証では、不正アクセスの被害を十分に防ぐことは困難になっています。
自社の情報資産を守るためにも、二段階認証や多要素認証を積極的に活用し、認証基盤の強化を図ることが重要です。
社内だけでは認証設定に不安があるという場合は、ぜひ本記事で紹介した LANSCOPE プロフェッショナルサービスが提供する「クラウドセキュリティ診断」の実施もご検討ください。
また、多要素認証の導入・設定時に役立つ資料もご用意しています。本記事と合わせてぜひご活用ください。
おすすめ記事
