オンライン上には多種多様なフィッシングサイトやマルウェアが存在しており、ユーザーが持っている情報を搾取しようと待ち構えています。さらに、クラウドサービスの普及により、持っている情報の中でも重要なものであるIDとパスワードの価値自体も上昇していると言えるでしょう。
クラウドサービスの窓口であるIDとパスワードの「認証」というステップ。これをより強固なものにするための方法として近年急速に普及してきているのが二段階認証です。今回はこの認証方式に焦点を当てて、組織のセキュリティをより高める方法を紹介したいと思います。
二段階認証とは「複数の要素」から「2つを選び」「順番に認証」する方式
二段階認証とは、その名の通り2つの段階を経て認証を完了することを指します。
元々はMFA(Multi-Factor Authentication:多要素認証)と言う概念があり、その中で2段階に限定した認証方式が二段階認証と呼ばれているのです。
では、ここで出てくる「要素」とは何のことをさすのでしょうか?
標準的なものは下記のとおりです。
・知識情報(SYK : Something You Know) : ユーザーが知識として持っているもの、パスワードなど
・所有物情報(SYH : Something You Have) : ユーザーが所持している物品、ICカードや携帯電話など
・生体情報(SYA : Something You Are) : ユーザー自身の情報、指紋や顔、静脈など
これらのうち複数個を組み合わせたものを「多要素認証」と呼び、さらにその中で2つを使用した場合は「2要素認証」に分類されます。これに対して、認証の際に複数ステップを用意し、1ステップ目で1つの要素を要求、成功/失敗した場合には2ステップ目で1の要素を要求、3ステップ目で…といったように、段階を複数踏む手続きを経る認証を「多段階認証」、特に2ステップ使用するものを「2段階認証」と言います。
一般的なウェブサービスにおいては2段階認証が多く使用されています。その場合の要素は1ステップ目にID/パスワードの知識情報、2ステップ目に携帯電話のSMSなどを使用して所有物情報を使用するものが大半です。
Googleも2段階認証の採用で従業員のフィッシング被害を一掃
2段階認証の大半において、オンライン上での手続きに加えてオフライン上のハードウェアを経由した要素が重要となるため、フィッシング等の被害からアカウントを保護するための手続きとしては非常に有効な手段です。実際に、Googleは2017年よりハードウェアベースの2段階認証を社内で進め、その結果、従業員8万5000人を超える従業員に対するフィッシング被害が0になったと発表しています。
この際の2段階認証の手続きは、セキュリティトークンといわれるハードウェアを使用したものでした。IDとパスワードの認証を経た後に、コンピュータにセキュリティトークンを接続することで認証が完了します。接続方法はUSB/NFC/Bluetoothを選択する形で、これらは「Titan Security Key」として発表され、提供が始まっています。
世界中で増えている2段階認証での認証方式
今やフィッシング被害はどこの業界でも他人事ではありません。例えばGoogleアカウントを搾取されることでメール・ドキュメント・データが被害にあったり、Facebookを始めとするSNSのログイン情報が搾取されたことでそのアカウントが詐欺の踏み台アカウントに使用されてしまったりすることがあります。銀行等のオンライン金融サービスでは資産への直接ダメージにつながったり、AWSなどのIaaSサービスのアカウントでは仮想通貨のマイニングに悪用されたりする可能性もあるのです。
そのようなフィッシング詐欺による被害を押さえるための手法が2段階認証であり、昨今では様々なサービスが対応するようになってきています。
わかりやすい例としては、Googleアカウントの2段階認証があります。ログイン時にIDとパスワードの入力後、スマートフォン上のアプリにて時間で切り替わるワンタイムパスワードを発行することにより2段階認証を実行できるようになっているのです。ほかにはSNSアカウント等では携帯電話のSMSにてワンタイムパスコードを送ることで2段階認証を実現しています。
なお、ワンタイムパスコードでメールを使用しないのには理由があります。ID/パスワードの使用は知識情報の要素ですが、メール自体が「メールサービスに対するパスワード」を使用しているため、こちらも知識情報の要素になります。つまり、2要素認証とならないのです。
2つのステップを経ているので2段階認証である、という点は間違いではありません。しかし、一般的に2段階認証は2要素認証を兼ねているものであるべきとされています。したがって、上記のような方法はほとんど見られないのです。
パスワード以外の認証方式があれば安全と言える?
最近では普段使用しているコンピュータ/スマートフォンにも2段階認証が使用されるようになっています。コンピュータのロックを外す際にパスワード(知識情報)と顔認証や指紋認証(生体情報)を組み合わせることで、よりセキュリティを高めることができるのです。
しかし注意しなくてはならないのが、顔認証や指紋認証は、昨今においてどちらかというと「パスワードの代替手段」となりつつあるという点です。多くの場合でパスワードと併用した2段階認証ではなく、単純認証として利用されています。
生体認証などは本人認証として非常に有用ではあるのですが、それだけで2段階認証と同等のセキュリティのレベルに達する手段であるとは言えません。そのため企業等の情報機密を重視しなければならない環境下では、知識情報や所有物情報による認証が必要だと考えるべきでしょう。
法人でも使える2段階認証サービス
さてそれでは2段階認証を実現させるサービスにはどのようなものがあるのでしょうか。ここではウェブサービスでの例を紹介いたします。
多くのウェブサービスで2段階認証をアカウントに設定すると、ワンタイムパスワードを発行するためのQRコードが表示されます。このQRコードをワンタイムパスワード発行システムに登録することで、時間経過で変化するワンタイムパスワードを生成してくれるようになります。
よく使用されているサービスが「Google認証システム(Google Authenticator)」です。iOSやAndroidのストアで公開されており、自分が所有するスマートフォンでこのアプリを起動し、QRコードを認識させることで、ワンタイムパスワードが発行可能になります。
なお、Googleのサービスではありますが、このソフト自体はGoogleアカウントとは関係ないため、他の情報に連携されることはありません。ただし、バックアップ等も実施されないため、スマートフォンを変更する際などはもう一度アカウントの設定からやり直す必要があります。
それでもパスワードの重要性は下がっていない
多要素認証、とくに2段階認証はこれまでのID/パスワードのみによる確認から一歩進み、複数の要素を組み合わせることで本人認証をより確実に行えるようになった一つの解決策です。ですが、このように2段階認証を利用しているからといって、パスワードの運用・管理をおろそかにして良いわけではありません。フィッシング詐欺も日々進歩しており、2段階認証のステップを再現することで入力情報を搾取する、といった手法も見られ始めています。
基本的なセキュリティソフトの導入はもちろん、従前の対策をしっかりと行った上で2段階認証の手続きを経ることで、よりセキュリティの強度を高めることができるのは言うまでもありません。まずは自らの環境を見直し、その上で2段階認証の導入を目指しましょう。