オンラインバンキングで、口座から振り込みを行うとき、第2の暗証番号を要求される。あらかじめ決めておいた別のパスワードや、銀行から配布されたトークンデバイスに表示される番号を入力しないと、実際の送金が行われない。また、SNSやECサイトなどのログインで、パスワードを入力後にスマートフォンにパスコードが送付され、入力を要求される設定が増えている。

 これらは、オンラインバンキングやサービスのアカウント情報が漏えいし、不正アクセスやなりすましを防止するための「2段階認証」「2要素認証」などと呼ばれる方法だ。

もはやパスワードひとつでは守れない

 2段階認証とは、一般には、通常のログイン認証(ID・パスワード)に加え、特定の処理やデータへのアクセスなどに追加のパスワードなどを入力させる処理のことを指す。代表的な例でいえば、オンラインバンキングで口座から現金を振り込むとき、ログインした状態でも、追加のパスワード(第2パスワード)や事前に配られた乱数表のコード、トークンと呼ばれる小さいデバイスに表示されるコードなどの入力を要求される。

 2要素認証というキーワードもあるが、これは2段階認証のひとつのと考えられる。パスワードは2段階になっているが、それぞれのパスワードの種類が違うことを厳密に表現したい場合、2要素認証という用語が用いられる。

 種類が違うパスワード、というのは以下のような意味だ。

 通常のパスワードは、ユーザーが自分で決めたものを事前に登録する。これは本人確認のため、本人しか知らない(はずの)記憶情報で照合する方式だ。本人確認の方法は他にも、指紋や静脈パターンのような生体情報、物理的な鍵やカード、トークン所持を前提にしたモノによる認証などがある。

 厳密に言うと、ログイン時には事前登録のパスフレーズを使い、口座からの振り込み時にトークンに表示されるコードを入力させる場合は「2要素認証」と呼べる。しかし、どちらも事前登録したパスワードやパスフレーズ(違うフレーズだとしても)を利用する認証は、要素が異なるのではなく数が多いだけなので、2要素認証ではなく2段階認証となる。

 ところで、上記のような2段階認証(以後、とくに指定がなければ2要素認証も含む)は、金銭の移動、重要機密へのアクセスの保護を確実にするための施策だ。フィッシング詐欺や標的型攻撃などサイバー攻撃が深刻になっているのに加えて、パスワード管理の煩雑さに起因する「使いまわし問題」などが影響し、一般的なログイン認証だけでは十分といえない状況になったため、2段階認証が広がっていった。

 それまでのセキュリティ対策は、アンチウイルスソフト、ファイアウォール、ログイン認証など、とにかく侵入を止めることに注力していた。しかし、これらの入り口対策だけでは侵入や不正アクセスが防げなくなってきたため、出口対策(データや金銭の不正持ち出し対策)も強化する必要が生じた。そこで2段階認証が登場し、特にオンラインバンキングではもはや必須の機能となっている。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。