Written by 石田成美
インターネットプロバイダに7年間勤務し、出産・育児を機にフリーランスに転身。Webライターとして、主に情報セキュリティ系のテーマをわかりやすく解説します。
目 次
2段階認証とは?
なぜ「通常のログイン方法」でなく「2段階認証」が必要なのか?
2段階認証が用いられる、主なサービスの例
2段階認証で用いられる「3つの認証要素」
2段階認証と「2要素認証」の違い<
2段階認証を怠ることで、どんな被害リスクが想定される?
2段階認証で使用される、主な認証方法
各種サービスで「2段階認証(多要素認証)」を導入するには?
2段階認証(多要素認証)の最適化は、LANSCOPE プロフェッショナルサービスにおまかせ
まとめ
2段階認証(2FA)とは、不正ログインへの対策として2回の認証を行うことで本人確認をし、セキュリティの強化を図る認証方法です。
サイバー攻撃が高度化する昨今、従来の「IDとパスワードだけ」の認証方法では、十分なセキュリティ体制を構築し不正アクセスを防ぎきることは困難です。従来に比べ、攻撃者が比較的容易に、ID・パスワードの解読や不正入手を行えてしまうためです。
サービスへ不正にログインされれば、結果として
・不正アクセスによる情報漏洩
・不正送金やクレジットカードの悪用
・盗まれた個人情報の更なる悪用
といった大規模な被害を受けるリスクをはらんでいます。
そこで推奨されているのが、従来の「IDとパスワードだけの認証」+2回目の認証をログイン時に必要とする「2段階認証」というセキュリティ対策です。ログイン画面にIDとパスワードを入力した後、追加で「セキュリティコードの入力」や「秘密の質問への回答」「指紋認証」などを求められる認証方式は、すべて「2段階認証」に該当します。
この記事では、いまやオンラインサービスのセキュリティ対策として欠かせない「2段階認証」の仕組みや重要性、導入方法までわかりやすく説明していきます。
▼この記事でわかること
- 2段階認証とは、Webサービスへのログイン時に「IDとパスワード」の入力に加え、別の認証を行う、二段構えの認証方法のこと
- 2段階認証で用いられる認証要素には「知識要素(パスワード入力など)」「所有要素(スマートフォンなど)」「生体要素(指紋や虹彩など)」の3種類がある
- 近年、サイバー攻撃は高度化し、IDやパスワードだけの従来の認証方法では、不正ログインを完全に防ぐことが難しく、2段階認証は必須のセキュリティ施策
- 2段階認証を怠ると個人・機密情報の流出、不正送金、アカウントの乗っ取り・なりすましなどの被害リスクが想定される
- 2段階認証で使用される認証方法としては「ワンタイムパスワード」「指紋や顔による生体認証」「セキュリティの質問」「電話認証」などがある。
- 2段階認証は「要素の種類は問わず、2度の認証を必要とする」方法であるのに対し、2要素認証は「3つの要素の中から異なる2つの要素を選んで、2度の認証を行う」という違いがある
- 近年は強固なセキュリティ構築のため、2段階認証の上位概念である「多要素認証」「2要素認証」に取り組むケースが多い
また、本記事で解説する2段階認証の上位手段である「多要素認証」に関して、クラウドサービス利用時の設定のポイントを以下の資料にてまとめています。是非合わせてご活用ください。
2段階認証とは?
2段階認証とは、Webサービスやアプリケーションへログインする際、IDとパスワードの入力に加え、追加で別の認証を行う不正ログイン対策のことです。
1回目(1段階目)の認証ではIDとパスワードを、2回目(2段階目)は「ワンタイムパスワード」「指紋認証」など別の認証方法を使用し、合計2回の認証を行うことから2段階認証と名付けられています。
▼「ワンタイムパスワード」を用いた2段階認証の例
1.Webサービスへログインするため、最初にIDとパスワードを入力します(認証1回目)。
2.入力と同時に「ワンタイムパスワード(一時期的に有効なパスワード)」が発行され、事前に登録したSMSやメールアドレスへ通知されます。
3.ログイン画面にて「ワンタイムパスワードの入力」を求められるので、届いた6桁の数字を入力し、ログインが完了します(認証2回目)。
▼「指紋認証」を用いた2段階認証の例
1.Webサービスへログインするため、最初にIDとパスワードを入力します(認証1回目)。
2.サービスは追加の認証ステップとして「指紋認証」を要求します。ユーザーはデバイスの指紋センサーでスキャンし、指紋データを送信します。
3.事前に登録された指紋データと照合し、正しければログインが完了します(認証2回目)。
このように2段階認証を使用すれば、仮にIDやパスワードが第三者に知られ、不正ログインが行われた場合も、2段階目の認証で不正アクセスをブロックすることが可能となります。
特に個人情報が保存されたクラウドファイルや、金銭のやり取りが発生するオンラインバンキングなどのサービスを利用する際は、あらかじめ2段階認証を登録し、強固な不正アクセス対策を行っておくことが重要です。
なぜ「通常のログイン方法」でなく「2段階認証」が必要なのか?
2段階認証が必要となった背景には、不正アクセス(不正ログイン)によるサイバー攻撃が昨今後を絶たず、従来の「IDとパスワードのみのログイン認証」では、不正アクセスを防ぐことが困難であることが理由に挙げられます。
警察庁が2023年3月に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、2022年の「不正アクセス行為の認知件数」は2,200件にのぼり、前年から+684件(約45.1%)増加しています。
▼不正アクセス行為の認知件数の推移(過去5年)
出典:警察庁|不正アクセス行為の発生状況及びアクセス制御機能に関する技術開発の状況(2023年3月16日)
上記のグラフだけでは、一見「不正アクセス」の認知件数は横ばいな印象を受けるかもしれませんが、10年前から比較すると件数が右肩上がりで増加している実態が伺えます。
出典:犯罪白書|第5章 サイバー犯罪
近年、「ブルートフォース攻撃」や「リバースブルートフォース攻撃」のように、攻撃者がIDやパスワードを短時間で推測する手法も確立されています。また、ダークウェブのような裏サイトにて、ユーザーのログインID・パスワードが不正に売買される機会も増えています。
このように、自身でIDとパスワードを慎重に管理していても、従来の認証方法だけでは不正アクセスを完全に防ぐことは難しいと言えます。
そこで万が一、IDとパスワードが第三者に漏れてしまっても、不正ログインを阻止する手段として注目されているのが、今回のテーマである「2段階認証」です。
特に、2段階認証の中でも先述した3要素のうち2種類を組み合わせる「2要素認証」「多要素認証」を行うことで、不正ログインの被害に遭うリスクを大きく軽減することが可能となります。
従来の「パスワードを使いまわさない」「定期的にパスワードを変更する」等の対策は限界
不正ログイン対策として一般的に提示されている
・複数アカウントで、同じパスワードを使いまわさない
・長く複雑なパスワードを設定する
・こまめにパスワードを変更する
といった「パスワード自体を工夫する」対策手段は、不正ログインのリスクを軽減するものの、完全な対策とは言い切れません。
近年のサイバー犯罪では、ID/パスワードが不正に入手され悪用されるケースが少なくないため、仮に長く複雑なパスワードを設定していたとしても、認証を突破されてしまうリスクがあるためです。
また「パスワードの管理工数」を踏まえると、複雑なパスワードを複数サイトで使いまわさず頻繁に変更することは、あまり現実的ではありません。
不正アクセス対策として「単純なパスワードを使用しない」ことは勿論ですが、根本的な対策として、パスワード入力のみに頼らない「2段階認証(多要素認証)」の導入は、欠かせないと言えるでしょう。
2段階認証が用いられる、主なサービスの例
2段階認証が導入されている・推奨されるサービスの例としては、以下のようなものがあります。
SNSやオンラインバンキング、ECサイトでの「2段階認証の利用」は、多くの方が一度は経験したことがあるのではないでしょうか。
| サービスの種類 | 具体的なサービスの例 |
|---|---|
| 企業向けのクラウドサービス |
・オフィス・業務ソフト(Microsoft 365、Google Workspace、Slackなど) ・ホスティングサービス(AWS、Microsoft Azureなど) |
| オンラインストレージ | OneDrive、iCloudなど |
| SNS | Facebook、Twitterなど |
| メールアカウント | Gmail、Outlookなど |
| オンライン決済 | Paypay、Visaなど |
| オンラインバンキング・金融サイト | 三井住友銀行、楽天銀行、イオン銀行など |
| オンラインストア・EC | Amazon、楽天など |
| オンライン会議 | Zoom、Microsoft Teamsなど |
2段階認証が推奨されているサービスとは、情報漏洩に発展した際、大規模な被害に発展しうる重要なデータを内包していることの裏返しでもあります。
現在、いずれかのサービスを組織で活用している場合は、あらためて認証方法の見直しを検討してみることがおすすめです。
2段階認証で用いられる「3つの認証要素」
各種サービスへのログイン時に行う、「認証」を行う要素には「1.知識要素」「2.所有要素」「3.生体要素」の3つの種類があります。
2段階認証では、IDとパスワード(知識要素)を用いた認証に加え、この3要素のいずれかを「2回目の認証」に用いることで、セキュリティ体制の強化を図ります。
以下では、3つの要素の特徴について説明します。
1.「知識要素」は、本人だけが知っている情報
「知識要素」とは、パスワードやPINコード(暗証番号)、秘密の質問など、本人が記憶している情報を入力することで認証する方法です。
例
・あらかじめ設定した4桁のPINコードを入力する
・よくある質問として「母親の旧姓」「ペットの名前」など、簡単な質問と設定しておき、答えを入力して認証する
このとき、単純な数字の羅列(1234)や自身の誕生日・電話番号など、簡単に予想されるパスワードは、不正ログインを招く要因となるため避けましょう。
2.所有要素は、本人だけが所有している物の情報
「所有要素」とは、スマートフォンの専用アプリを利用した認証、セキュリティトークンを使ったワンタイムパスワードなど、アプリやスマートフォンの所持要素を利用した認証方法です。
強固なセキュリティを実現できる一方、ICカードやスマートフォンの紛失・盗難が命取りとなるため、十分な注意が必要となります。
3.生体要素は、本人の身体的特徴に基づく情報
「生体要素」とは、顔や虹彩、指紋、音声、静脈など、それぞれの人が持つ身体的特徴を認識し、本人を特定する認証方法です。
近年、指紋認証や顔認証などに対応したスマートフォンやパソコンの普及により、生体要素を用いたアプリやSNSも増加しています。
強固なセキュリティ体制が取りやすい上、入力の手間が省ける、紛失トラブルがないといったメリットがあります。
2段階認証と「2要素認証」の違い
2段階認証と混同されやすい認証方法に「2要素認証」があります。
2段階認証と2要素認証は、どちらも認証方法として「知識要素」「所有要素」「生体要素」のいずれかを使用するという点は共通しています。
しかし、2段階認証はあくまで「2つの段階を経て認証を行う」ものであり、要素の種類は問いません。つまり、IDとパスワード(知識要素)を入力したあと、秘密の質問(知識要素)に答えてログインするというように、同じ要素を2回使うケースも存在します。
一方、2要素認証は「3つの要素の中から、異なる2つの要素を選んで認証を行う」手法です。
例えば、IDとパスワード(知識要素)を入力したあと、スマートフォンの電話番号宛に届いたワンタイムパスコード(所有要素)を入力してログインする等、2種類の要素を組み合わせる必要があります。
そのため大きな枠で考えると、2要素認証は2段階認証の1種とも考えることができます。
同じく「多要素認証」とは、先述した「3つの認証要素」のうち2つ以上の要素を利用した認証方法です(既述の「2要素認証」も、2つの要素を利用するので多要素認証の一つと言えます)。
2段階認証が認証の回数を増やすことでセキュリティを強化するのに対し、多要素認証は、回数と要素の両方を増やすことで、セキュリティの強度を高めます。
▼多要素認証の例
・IDとパスワードの入力(知識要素)+ワンタイムパスワードの入力(所持要素)
・IDとパスワードの入力(知識要素)+ワンタイムパスワードの入力(所持要素)+秘密の質問(知識要素)
・IDとパスワードの入力(知識要素)+秘密の質問(知識要素)+顔認証(生体要素)
など
複数の要素を組み合わせるほどセキュリティは強固となりますが、複雑な設定は利用者の負担となるため、一般的には2つの要素を組み合わせた2要素認証が主流となっています。
「多要素認証」の重要性や導入事例については、以下の記事でも詳しく解説しています。
2段階認証を怠ることで、どんな被害リスクが想定される?
2段階認証や多要素認証の対策をとらない、つまりIDとパスワードだけの認証方法を放置することは、不正ログインの要因を放置していると言っても過言ではありません。
サイバー攻撃者に不正ログインされることで、以下のような被害を受ける可能性があります。
・住所や氏名、IDやパスワードなど個人情報の漏洩
・企業秘密など会社の重要データの流出・持ち出し
・ネットバンキングを悪用した不正送金
・SNSのアカウントの乗っ取り、なりすまし
・Webサイトへの不正ログインによる改ざん・削除
・他のサイバー攻撃の踏み台に利用
例えば、組織の顧客情報をクラウドサービスのオンラインストレージ上で管理している場合、不正ログインをされることで、顧客情報の持ち出しや不正利用といった被害を受ける可能性があります。
また、不正ログインによって組織のシステムにバックドアを仕掛けることで、継続的に情報を盗んだり、他のサイバー攻撃へ悪用したりといったリスクも考えられるでしょう。さらに不正に盗まれた情報がダークウェブで売買されれば、別のサービスでも不正ログインを招くなど、さらなる被害に発展する可能性もあります。
不正ログインは企業や個人を問わず、大きな被害リスクを及ぼす危険性を忘れないでおきましょう。
2段階認証で使用される、主な認証方法
2段階認証では、1回目の通常のIDとパスワードの入力に加え、2回目にどのような認証をするのでしょうか。
2段階認証でよく用いられる「認証方法」を、簡単にご紹介します。
1.SMSやアプリケーションを利用する「ワンタイムパスワード」
1つ目は、一定期間のみ利用可能な、使い捨てのパスワードを発行し認証する「ワンタイムパスワード」という手法です。
パスワードを用いた通常のログインを行ったタイミングで、6桁の数字など「ワンタイムパスワード」が発行され、あらかじめ登録した以下の媒体などへ通知されます。
・スマートフォンのSMS
・アプリケーション
・電子メール
パスワードは使いまわしができない上、認証コードが送られてくるスマートフォンが手元になければ操作できない特性上、非常に強力な認証方法の1つと言えます。
3要素で該当するのは、所有要素となります。
2.指紋や顔などを利用する「生体認証」
2つ目は、指紋や顔・声や静脈など、あらかじめ登録された個人を特定できる身体情報(バイオメトリクスデータ)を使用し、本人確認をする「生体認証」です。
身近な例では、スマートフォンやPCのロック解除に指紋認証や顔認証が採用されています。事前に指紋や顔などを登録しておき、認証の際センサーに指や顔を当ててロックを解除します。
3要素では、生体要素に該当します。
認証には自身の身体を利用するので、パスワードを記憶する手間や紛失する恐れがなく、管理負担が低いというメリットがあります。ただし、病気やケガ、成長や老化により、登録した情報データと変化した場合は認証ができなくなるため、定期的な登録情報の見直しが必要です。
3.「セキュリティの質問」による認証方法
3つ目は、利用者が事前に「秘密の質問」の回答を登録しておき、正しい回答を入れることで認証する方法です。
「母親の旧姓は?」「昔、飼っていたペットの名前は?」等、あらかじめ用意された定型の質問の他に、自身で自由に質問文を考えて登録できる場合もあります。
3要素で該当するのは、知識要素です。
4.「電話」による認証方法
「音声通話」を利用する認証方式もあります。
あらかじめ登録した電話番号に、自動音声案内にて認証コードが伝えられます。聞き取った認証コードを入力することで、ログインを行います。
3要素で該当するのは、所持要素となります。
各種サービスで「2段階認証(多要素認証)」を導入するには?
各種サービスで「2段階認証(多要素認証)」を導入する場合、サービスごとに手順は異なりますが、大まかな流れは以下の通りです。
▼「2段階認証(多要素認証)」導入手順
1. はじめに、自身(自社)が利用するサービスのうち、2段階認証(多要素認証)を導入すべきものを選定します。あわせて導入可否も確認します。
2. 管理者としてサービスへログインし、セキュリティ設定にアクセスします。
3. 2段階認証(多要素認証)の有効化や設定方法を選択。一般的には、SMS、音声電話、Eメール、アプリ、生体認証などの認証方式が用意されています。
4. 認証方式に応じて、必要な情報を入力。例えば、SMSや音声電話を利用する場合は「電話番号」を、Eメールを利用する場合は「メールアドレス」を、生体認証を利用する場合は「指紋や顔」などの情報を登録します。
5. 認証方式の動作確認をし、問題なければ2段階認証(多要素認証)の設定を保存し手完了です。
各種サービスの認証方法は、公式サイトより確認する
具体的な2段階認証(多要素認証)の導入手順・必要な情報は、各種サービスによって違いがあります。
主なサービスの認証設定に関する公式ページをまとめましたので、ぜひご活用ください。
| サービス名 | 解説URL |
|---|---|
| Microsoft 365 | Microsoft 365 Business Premium の多要素認証を設定する |
| Amazon | Amazon|2段階認証について |
| Zoom | Zoom サポート|2 要素認証(2FA)の管理 |
| Salesforce | Salesforce│多要素認証 |
| AWS | AWS での多要素認証 (MFA) の使用 |
| Microsoft Azure | Azure AD Multi-Factor Authentication の設定を構成する |
| X(旧Twitter) | X│2要素認証を使う方法 |
| Facebookで2段階認証に認証アプリを使用する |
2段階認証(多要素認証)の最適化は、LANSCOPE プロフェッショナルサービスにおまかせ
お使いのクラウドサービスにて「2段階認証」や「多要素認証」を最適化するなら、LANSCOPE プロフェッショナルサービスが提供する「クラウドセキュリティ診断」をご検討ください。
知識豊富なエキスパートが、お客様のAWS、Microsoft 365、Microsoft Azureといったクラウド環境を診断し、不正アクセスや情報漏洩に繋がる「設定漏れやミス」を着実に発見。解決策をご提案します。
弊社ではCISベンチマークや JPCERT・IPA の発信する「クラウド設定に関する最新情報」を常に収集し、診断ルールへ反映するため、いつでも最新のセキュリティルールに則った診断を受けていただけます。
また対応可能なクラウドサービスは多岐にわたるため、幅広いお客様のクラウド設定の不安解消に、お力添えすることが可能です。
▼対応可能なクラウドサービスの診断一覧
・Microsoft 365 セキュリティ診断
・Google Workspace セキュリティ診断
・Salesforce セキュリティ診断
・Amazon Web Services(AWS)セキュリティ診断
・Microsoft Azure セキュリティ診断
・Google Cloud Platfor (GCP)セキュリティ診断
・Zoom セキュリティ診断
・Box セキュリティ診断
・Slack セキュリティ診断
「2段階認証(多要素認証)」を含む、クラウドサービスのセキュリティ対策に興味のある方は、以下ページをご覧ください。
また「Microsoft 365」限定で、より診断ポイントを厳選しお手頃な価格で診断を行う「健康診断パッケージ」というサービスも提供しています。
まとめ
本記事では、2段階認証の仕組みや必要性・導入の流れなどを解説しました。
本記事のまとめ
- IDとパスワードだけの認証ではセキュリティ対策が不十分
- 2段階認証の活用により不正ログインを阻止できる可能性が高まる
- 「多要素認証」にすることでさらにセキュリティを強化できる
- 多くのサービスは自身で2段階認証の設定を行う必要があり、セキュリティを強化するため、認証方式に設定することが望ましい
2段階認証や多要素認証を導入することで、サービスへ不正にログインされるリスクを根本から解消し、あなたや会社の大切な情報資産を守ることができます。
ぜひ、ご利用中のオンラインサービスで「2段階認証(多要素認証)」が導入できていない場合は、設定の見直しを行ってみてはいかがでしょうか。
多要素認証の導入・設定時は、ぜひ以下の資料もご活用ください。
関連する記事
