多要素認証と二段階認証の違いとは?メリット・デメリットや認証方法の種類を解説
こんにちは。「SMSLINK」ライターチームです。
自社サービスのセキュリティ対策強化を課題とする企業も少なくありません。そのうえで、多要素認証や二段階認証が有効な手段として注目を集めています。
この記事では、認証システムの導入を検討している企業や担当者に向けて、2つの認証システムの概要や、それぞれの違い、メリット・デメリットなどを解説しています。
セキュリティ対策強化を検討していましたら、ぜひ参考にしてください。
SMSを使った認証を検討している方へ
>>SMS配信サービスの選び方のポイントと比較表をダウンロードする【無料】
目次[非表示]
- 1.多要素認証(二要素認証)とは
- 1.1.SMS認証などの複数の認証を用いる
- 1.2.認証されるまでの仕組み
- 2.二段階認証とは
- 2.1.パスワード認証のセキュリティレベルを上げる
- 2.2.二段階によって認証される仕組み
- 3.2つの認証システムの違いについて
- 4.認証を理解するうえで重要な3つの要素
- 4.1.1.ユーザーのみが知る「知識要素」
- 4.2.2.ユーザーのみが所持する「所有要素」
- 4.3.3.ユーザーのみに適用される「生体要素」
- 5.2つの認証システムのメリット・デメリット
- 6.自社サービスへ認証システムを導入する必要性
- 7.主な認証の種類
- 7.1.秘密の質問(知識要素)
- 7.2.SMS認証(所有要素)
- 7.3.指紋認証(生体要素)
- 8.認証システムを検討する際に気をつけるべきポイント
- 8.1.生体情報の取り扱いに気をつける
- 8.2.ユーザーの行動次第で認証の強度は変わる
- 9.まとめ
多要素認証(二要素認証)とは
ここでは、多要素認証がどのような認証システムなのかについて解説します。
SMS認証などの複数の認証を用いる
多要素認証とは、2つもしくは3つの要素による認証をおこなうことです。二要素認証は、2つの要素による認証システムのことを指しています。
一般的なWebサイトなどへのログイン時に求められるIDとパスワードのシンプルな認証とは違い、生体認証やSMS認証などのさまざまな要素を用いて、アクセスを制限しています。
認証されるまでの仕組み
多要素認証の仕組みは、二つの段階に分かれています。第一段階ではIDとパスワードによる認証がおこなわれ、第二段階では指紋認証やSMS認証などの異なる要素の認証が用いられます。
それぞれの認証に成功すれば、アクセスやログインが認められるといった仕組みです。それぞれの段階でIDとパスワードによる認証を2度実施したとしても、二要素認証には該当しません。
二段階認証とは
次は、二段階認証がどのような認証システムで、どのような仕組みになっているのかについて解説します。
パスワード認証のセキュリティレベルを上げる
二段階認証とは、認証の段階を2度設けている認証システムのことです。
それぞれの段階において、メールアドレスを用いるなどの認証の要素が含まれていない場合もあります。1度目の認証でIDとパスワードの入力を求め、秘密の質問に対する回答を入力するなど、2度の認証が必要です。
二段階によって認証される仕組み
二段階認証では、認証の要素を組み込んでいるかどうかにかかわらず、2回にわたる認証が必要です。たとえば、第1段階ではIDとパスワードによる認証が実施され、認証に成功すると、第2段階で秘密の質問に回答したり、指紋などの生体認証を用いたりして認証をおこないます。
認証システムの要素の組み合わせが複雑化したものほど、セキュリティを強化できます。
2つの認証システムの違いについて
両者の違いは、セキュリティの強度を高めるための概念にあります。
多要素認証は認証の要素を重視しており、2~3種類の要素を組み合わせることでセキュリティレベルの強化を図っているシステムです。
一方、二段階認証は、認証の回数を増やすことでセキュリティのレベルを上げています。ただし、セキュリティレベルをより強化するなら、複数の要素をもつ認証システムを選ぶ必要があります。
認証を理解するうえで重要な3つの要素
認証の要素は、3つに分類されます。以下では、それぞれの要素について解説します。
1.ユーザーのみが知る「知識要素」
知識要素は、ユーザーのみが知っているものを指しています。たとえば、IDやパスワード、秘密の質問、セキュリティコードなどです。ただし、第三者に知られてしまえば、不正利用されるリスクが高まります。
アメリカでは、秘密の質問はリスクが高いとみなしていることから、Yahoo!JAPANやmineoなどを始め、秘密の質問を廃止しているサービスが増えています。
2.ユーザーのみが所持する「所有要素」
所有要素とは、スマートフォンやキャッシュカードなどのユーザーが所有しているもののことです。SMSやアプリによる認証やICカードなどが一例です。
ただし、常に所持している場合は不便に感じませんが、普段持ち歩かないものの場合は、忘れずに所持しておかなければなりません。また、紛失や盗難などのリスクもあります。
3.ユーザーのみに適用される「生体要素」
生体要素は、ユーザーにしかもち得ない生体情報を意味します。
たとえば、指紋認証や顔認証、静脈認証、虹彩認証などが挙げられます。ユーザーの身体そのものであるため、所有要素に比べると、紛失や盗難のリスクが低くなります。
ただし、必ずしも生体情報が安全とは言い切れません。寝ている間に、指紋認証を利用されるなどのリスクがあることも理解しておきましょう。
2つの認証システムのメリット・デメリット
多要素認証や二段階認証を採用した場合のメリット・デメリットについて解説します。
多要素認証
多要素認証はメリットだけでなく、デメリットも存在します。以下で、詳しく解説します。
メリット
多要素認証のメリットは、二段階認証よりもセキュリティの強度を高められることです。
生体認証などのユーザーでしか提示できない要素を組み合わせている場合は、第三者による不正ログインの防止に有効とされています。また、パスワードを忘れないために、メモなどに書いておくといったパスワード管理も不要なため、ユーザーの利便性も高まります。
デメリット
多要素認証のデメリットは、認証のポリシーによって、セキュリティの強度に差が出てしまうことです。
たとえば、ICカードなどの要素を組み合わせた場合、ICカードを常に持ち歩く必要があり、紛失や盗難などのリスクが高まるうえに、再発行の手間がかかります。また、生体認証は、種類によって認証率に差があるため、本人であっても認証に失敗する可能性もあります。
二段階認証
ここでは、二段階認証のメリットやデメリットについて確認しておきましょう。
メリット
二段階認証は2度にわたる認証が必要なため、仮に第1段階の認証を突破されてしまっても、第2段階の認証で防ぐことも可能です。
従来のパスワードのみの認証に比べて、二段階認証のほうがセキュリティレベルの強化を図れます。二段階認証に加えて、複数の要素を組み合わせれば、さらに認証の強度を上げられます。
デメリット
二段階認証は、2度の認証が必要なため、多要素認証に比べるとユーザーの利便性が低下します。
また、ユーザー自身が二段階認証の設定をおこなう必要があるため、設定してもらえなければ二段階認証によるセキュリティの強化につながりません。さらに、パスワードや秘密の質問の答えなどをメモしておく人もいるため、情報漏えいの可能性も高まります。
自社サービスへ認証システムを導入する必要性
規模にかかわらず、企業を狙った不正アクセスや、なりすましなどのセキュリティリスクが高まっています。そのため、IDとパスワードによる従来の認証システムでは、セキュリティリスクから自社サービスを守ることはできません。
また、一度でも個人情報の漏えいなどのセキュリティ事故を起こせば、会社としての社会的な信用を失うことになります。自社サービスだけでなく、自社を守るためにも認証システムの導入は避けられません。
主な認証の種類
ここでは、代表的な認証の種類について詳しく解説していきます。それぞれの特徴を把握しておきましょう。
秘密の質問(知識要素)
秘密の質問は知識要素のひとつで、特定の文字列の入力による認証のことです。
一般的に、二段階認証で用いられることが多く、IDやパスワードの入力を求められた際に、思い出せなかった場合の対策として利用されます。秘密の質問は、複数の質問内容の中からユーザー自身が選んだうえで、質問に対する回答を登録するなどの手間が発生します。
SMS認証(所有要素)
SMS認証は所有要素のひとつで、スマートフォンや携帯電話のSMS(ショートメッセージサービス)を活用した認証です。ワンタイムパスワードをSMSで送信し、ユーザーが送られてきたパスワードを入力する仕組みになっています。
ワンタイムパスワードとは、一定の時間が経つとパスワードとしての効果がなくなるため、時間が経ってから入力すると使用できません。比較的安価なコストで導入できます。
指紋認証(生体要素)
指紋認証は生体要素のひとつで、その名のとおりユーザーの指紋を専用の機器や指紋認証機能をもつスマートフォンなどで読み取るタイプの認証です。
ユーザー以外がもち得ない身体的な特徴を利用するため、セキュリティレベルを上げるうえで有効とされています。ただし、生体認証にはAIが必要なこともあり、1台につき1万円~数万円の専用機器が必要です。
認証システムを検討する際に気をつけるべきポイント
自社サービスにあった認証システムを選ぶ際は、以下のポイントに注意して導入を検討しましょう。
生体情報の取り扱いに気をつける
生体認証は、ユーザー以外にもち得ない情報ですが、第三者に情報が流出するリスクもあります。
たとえば、SNSなどの画像や動画を拡大して指紋を取り出すことも可能です。また、不慮の事故などによってユーザー自身が身体を欠損するケースも考えられます。ほかにも、指の乾燥や湿り具合によって、指紋認証が通らないこともあります。
ユーザーの行動次第で認証の強度は変わる
認証がより複雑化すれば、セキュリティの強度は高まります。しかし、二段階認証と多要素認証のどちらを採用したとしても、ユーザーの利便性を無視すれば、ユーザーは利用をやめてしまいます。
また、ユーザー自身が設定をおこなわなければ、どんなに強固な認証システムを導入しても意味がありません。そのため、ユーザーに対し、認証の重要性や使い方を正しく伝える必要があります。
まとめ
複数の要素を組み合わせた多要素認証のほうが、よりセキュリティを強化できます。ただし、自社サービスにどちらの認証を採用するのかは、サービスに求めるセキュリティレベルや、利用するユーザー層などにあわせて慎重に吟味する必要があります。
株式会社ネクスウェイの「SMSLINK」は、マニュアルがなくても直感的な操作が可能なSMS配信サービスです。1通あたり6円~の業界最安値水準を誇り、FAX、郵送、メールなどの通信インフラを30年間に渡って提供してきた実績があります。
自社サービスのセキュリティをSMS認証で強化したいとお考えの場合は、気軽にお問い合わせください。
一覧に戻る >