既にじわじわと浸透し始めている「2段階認証」ですが、具体的にどのような仕組みになっているかご存知でしょうか。
パソコンやスマートフォンを使ってWebサイトを閲覧したり、アプリを使ったりするときにパスワードを2回入れたり、指紋など別の認証を求められたという経験をお持ちの方も多いと思います。この「2回の認証を求められる」という仕組みが2段階認証です。
今回は、この2段階認証はどういうもので、なぜ必要になり、広がりを見せているのか。一緒に見ていきましょう。
「2段階認証」とはどういうものか
2段階認証の概要
はじめに2段階認証とはどういうものか、簡単に見ていきましょう。2段階認証とは簡単にいうとログインやアクセスなどの際の認証を二重にしたものです。通常、私たちユーザーが、あるサイトにログインする場合は一回ユーザー名とパスワードを入力するとログインすることが出来ます。しかし、2段階認証の場合は、さらにもう一回認証を行うことが必要となります。
つまり、2段階認証の仕組みはこうです。
- パスワード等によるログイン
- もう一回認証が必要
この2段階目の認証にはいろいろな方法がありますが、一般的なのは携帯電話などを登録しておいて、そこに送られてくるショートメッセージ(SMS)に数字の羅列を記載し、それを入力させるというものです。他には専用のUSB機器が必要になるケース、スマートフォンに専用のアプリを導入して使うケースなどいくつかの方法があります。
こういった方法によって、2段階認証をおこなっています。
なぜ2段階認証が必要なのか
では、なぜこういった2段階認証の仕組みが必要となったのでしょうか。それは取りもなおさず「セキュリティ上の脅威の増加」によっています。最近、特に2015年の秋以降、セキュリティ上の脅威が爆発的に増加し、それに伴って情報漏洩など数々の問題が発生しています。そしてセキュリティ事故は発生件数のみならず、それぞれの内容についても巧妙化・悪質化が顕著に見られるなど、非常に問題のあるものとなっています。
このセキュリティ上の脅威の中で問題となっているものの一つに「なりすまし」があります。これは、特定の人物が赤の他人になりますましてアカウントなどを利用し、犯罪などを引き起こすものです。
「なりすまし」を防ぐために従来行われてきた方法は、以下のようなものです。
- パスワードの複雑化
- パスワードの定期的な変更
これに対して、さらにセキュリティを強固にする方法として出てきたのが、「複数の認証方法を組み合わせる」ことです。複数の段階で認証を行うことで、仮に1つの方法での認証が突破されたとしても、もう1つでブロック出来るということを想定しています。これによって、1つの認証方法を使うより、はるかに安全な運用が出来るようになっています。
現在はひとたび情報漏洩などのセキュリティ事故が発生すると、影響はその事例だけでなく企業としての信頼の低下と消費者イメージの悪化につながります。さらには訴訟などに発展すると巨額の賠償金の支払いが必要なケースもあります。こういった事態になると、企業としてのビジネスの存続自体が危ぶまれるケースも出てきます。
そのため、企業のリスク管理という意味でも、高度なセキュリティ管理の一環である2段階認証の利用が進んでいるのです。
「2段階認証」はどのように使われている?
2段階認証の利用の現状
セキュリティ上の脅威が問題となっている中、2段階認証の利用の現状はどのようになっているのでしょうか。ここでは、国内と海外の状況について見てみましょう。
2段階認証は国内でも海外でも大手サイトやアプリを含めて利用が広がっています。具体的なものは後ほど取り上げますが、2段階認証を採用しているサイトやアプリには以下のようなものがあります。
- ユーザー認証が必要なサイトやアプリ:メール、ショッピングサイトなど
現状、国内での利用状況は2015年の総務省 情報セキュリティ対策室の調査では4割程度の企業で2段階認証が導入されているという結果になっています。これは、「金融」「通販」「オンラインゲーム」「交通」「情報配信」「通信」など、さまざまな分野の約200社からの回答を元にして集計したものです。これによると、一定数企業の間でも2段階認証の採用が進んでいることがわかります。また、同じように海外でも大手ショッピングサイトのAmazonを始め、facebookなどさまざまなサービスでの2段階認証の採用が進んでいます。
このように、特に個人情報を扱うショッピングサイトなど高いセキュリティレベルを要求されるところを中心に利用が伸びている傾向があります。
2段階認証を利用しているサイトやアプリ
このように利用が伸びている2段階認証の仕組みですが、実際にはどういったサイトやアプリで利用されているのでしょうか。ここでは、実際に2段階認証を使っているサイトやアプリの例を取り上げます。
1)Amazon
ショッピングサイトのAmazonでは2段階認証を利用することが出来ます。
2)Twitter
Twitterも2段階認証に対応しています。こういったSNSサイトのなりすましが問題になっている中、セキュリティの向上は必須の課題となっています。Twitterの2段階認証は
3)facebook
Twitterと同じSNSであるfacebookも2段階認証が使えるようになっています。
4)Instagram
これも同じSNSですが、Instagramも2段階認証が使えるようになっています。
5)Evernote
クラウドを活用してインターネット上にノートを作成してさまざまな情報を記録しておくサービスであるEvernoteも2段階認証に対応しています。
6)Dropbox
インターネット上にファイルや写真などのデータを保存しておくことのできるストレージサービスであるDropboxも2段階認証に対応しています。
「2段階認証」の注意点
最後に2段階認証を利用する際に考えられる注意点のいくつかについて取り上げます。また、併せてセキュリティ関連技術ですので、それらを扱うエンジニアはどういった点に注意すれば良いのかと言うことも見ておきましょう。
スマートフォンの乗り換える時はどうする?
2段階認証で手持ちのスマートフォンを登録して認証デバイスとして利用する方法は一般的なものです。ここで疑問に思われた方も多いのではないでしょうか。
「スマホを買い換える時はどうするの?」
スマートフォンを買い換える際には認証デバイスとしての登録はどうなるのでしょうか。引き継ぎ等をする必要があると思いますそれはどうすれば?という訳です。結論から言うと乗り換えの際には、以下の操作が必要となります。
- 現在の(買い替え前)の機種で2段階認証の機種登録を解除します
- 新しい(買い替え後)の機種で改めて2段階認証デバイスとしての登録を行います
2段階認証のサイトやアプリによって若干方法はことなりますが、概ね上記のような流れで設定を行います。
スマートフォン紛失の時はどうする?
スマートフォンを買い替えた時にどうすれば良いのかと言うことはお分かりいただけたと思いますが、紛失・盗難の時はどうすれば良いのでしょうか。当然ですが、事前に機種登録を解除することはできません。
- あらかじめ保存しておいたパスフレーズなどを使ってログインし、2段階認証を設定し直す
- サイト管理者等に連絡する
いずれにしろ、特に盗難の場合はできるだけ速やかに現行の端末の登録解除を行うことが必要です。
他には?
その他の注意点としては、認証時に使用するアプリを削除しないといったようなことが挙げられます。2段階認証の仕組みによってはスマートフォンにアプリを導入して、それを利用するケースもあります。そういった場合にアプリを削除すると2段階認証は利用できなくなるので注意が必要です。
セキュリティエンジニアはどういう知識が必要?
ここでは少し視点を変えた注意点を取り上げます。2段階認証の仕組みが普及することで、セキュリティエンジニアも今までとは違った知識や追加で学ぶべき内容があると考えられます。それにはどういったものがあるのでしょうか。
- 2段階認証の技術的な仕組み
- 2段階認証の設定、利用法
- 登録デバイスの紛失や盗難時のサポート、対処法
筆者もシステムエンジニアとして2段階認証のサポート等に関わっていますが、概ね多いのはこういった問い合わせです。エンジニアとしてはこういった登録関連の内容に対応できるようにしておきましょう。
また、それと同時に自社としてセキュリティの向上を目指して2段階認証の利用の可否などを検討し、マネジメント層に提案していくこともエンジニアの大きな役割です。このことも念頭に置いておきましょう。
まとめ
年々、悪質化・巧妙化するサイバー犯罪の被害は、2015年の日本年金機構の125万件の情報漏洩事件や、2014年のベネッセによる3500万件の情報漏洩事件など、年々拡大し大きな問題となっています。
そういった中、独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2017」レポートでも「インターネットバンキングやクレジットカード情報の不正利用」や「ウェブサービスへの不正ログイン」が掲げられるなど、インターネット上で他人になりすます「なりすまし」による被害事例が数多く報告されています。
2段階認証は、端的に言うと以下のようなもので、こういった「なりすまし」を防止する方法としても効果がある方法として期待され、それがために導入が進んでいます。
2段階認証:サイトのログオンなどの認証を「パスワード」+「スマホ認証」など複数の組み合わせにしたもの。従来の「パスワードのみ」などの1段階のものに比べて格段にセキュリティレベルが向上する
このようにセキュリティレベルの向上に大きな効果のある2段階認証ですが、例えば登録したスマートフォンを買い替える際の再設定が非常に複雑といった問題など注意点があります。
いくつか注意すべき点はありますが、2段階認証は「なりすまし」の防止などのセキュリティ向上という意味で今後さらに利用が拡大していくことは確実です。