2FA（二要素認証） - その仕組みと動作

2FAとは？

2FAと呼ばれる二要素認証は、利用者が主張する本人である可能性を高める仕組みです。ログインIDとパスワードに加えて、2種類の異なる認証要素の入力が必要となります。

複雑化するサイバー攻撃の中で、2FAは企業がデータと利用者を守るために欠かせない対策です。サイバー攻撃者によるシステム侵入を防ぐため、企業はセキュリティ対策の強化と攻撃手法の把握に努める必要があります。

‍

認証要素の理解

知識要素

知識要素とは、利用者が知っている情報、例えばパスワード、PIN、または秘密の言葉などが該当します。

生体要素

生体要素とは、利用者固有の身体的特徴のことで、顔認証、音声認証、指紋認証、さらにはキーストロークなどの行動的な特徴も含まれます。

所持要素

所持要素とは、利用者が実際に持っているもの、例えば携帯電話、IDカード、運転免許証、あるいは認証アプリなどが該当します。

位置情報要素

位置情報要素は、利用者がどこからアクセスするかに基づきます。企業は、利用される端末や場所に応じて認証を制限することが可能です。

時間要素

時間要素を用いることで、認証は決められた時間内のみ行われ、それ以外の時間のアクセスは拒否されます。

2FAの実例

アプリ、管理システム、またはプラットフォームにおける2FA認証は、利用者がログインを試みた時点から始まり、利用可能となるまで進行します。認証の流れは以下の通りです。

【ステージ1】: 利用者は対象のアプリまたはサイトを開き、サービスやシステムへアクセスします。その後、認証情報の入力が求められます。

【ステージ2】: 利用者は通常、ユーザー名とパスワードを入力します。システムはこれを確認し、正しく入力されたか精査します。

【ステージ3】: パスワード以外の認証の場合、システムは利用者向けに一時的なセキュリティコードを生成します。サーバーがこのコードを確認すると、初回の認証要求が承認されます。

その後、利用者に追加の認証コードの入力が求められます。

【ステップ4】: これは通常、所持要素に基づくもので、例えば利用者の携帯電話に認証コードが送信されます。

【ステージ5】: コードが確認されると、利用者は認証され、システムへのアクセスが許可されます。

2FAの種類

以下は2FAの例です。

• 2FA用ハードウェアトークン

ハードウェアトークンは初期の2FA手段で、小型のキー型デバイスのようなもので、定期的に新たな数字のコードを生成します。利用者はログイン時にこのコードを確認し、入力します。中にはPCのUSBポートに接続すると自動的にコードを送信するものもあります。

• SMSおよび音声を用いた2FA

SMSを利用する場合、利用者の携帯電話が直接用いられます。ログイン情報入力後、サイトからワンタイムパスワード（OTP）がSMSで送られ、これを入力する仕組みです。音声認証では、電話でコードが伝えられます。通信環境が不十分な地域で利用されることもあります。

• ソフトウェアトークンを用いた2FA

ソフトウェアトークンでは、時間制限付きのワンタイムパスワード（TOTP、または『ソフトトークン』）が利用され、SMSや音声認証の代替として広く採用されています。

利用者はパソコンや携帯電話に無料の2FAアプリをダウンロードし、導入します。その後、対応するサイトで利用できるようになります。まずユーザー名とパスワードでログインし、アプリに表示されたコードを入力します。ソフトトークンはハードウェアトークンと同様に短い有効期間があり、同一端末上で生成・表示されるため、SMSや音声認証に比べハッカーの侵入リスクが低減されます。

• プッシュ通知を用いた2FA

サイトやアプリからプッシュ通知で認証要求があることを知らせ、利用者はその通知を確認してアクセスを承認または却下できます。コードの入力が不要なため、パスワードレス認証とも言われます。

メッセージのポップアップにより、フィッシング、中間者攻撃、または不正アクセスのリスクが低減されます。これは、ストア、2FAサービス、端末間で即時かつ安全な接続が確立されるためです。ただし、ネットワーク接続がありアプリに対応した端末のみ利用可能です。また、SMSベースの2FAは通信環境が不十分な地域で補助的に利用される場合もあります。

• 生体認証

今後、利用者は2FAの手段として生体認証を望むようになるでしょう。現在、顔認証、網膜スキャン、指紋認証が進められており、騒音、歩行、打鍵パターン、音声印なども検討されています。これらの手法のどれかが主要な2FA方式として普及し、生体認証の活用法が確立される見通しです。

2FAの利点と欠点

【利点】

1. 付加的なセキュリティ対策

2FA認証を採用する理由は明白です。従来のパスワードだけでは一段階のセキュリティしか確保できず、パスワードが盗まれたり漏洩した場合、ハッカーが貴社のシステムにアクセスできてしまう恐れがあります。

2. 認証方式の違い

二段階認証と混同されることがありますが、二段階認証は同一の認証を2度行うのみで、実質的には単一要素認証と変わりません。対して2FAは、異なる種類の認証要素を組み合わせるため、より強固なセキュリティが実現されます。

3. コストパフォーマンスが良い

2FAの導入費用は、採用する認証方式によって大きく異なります。例えば、SMSベースの認証に比べ、網膜認証など高度な手法を導入する場合は費用が増す可能性があります。

【欠点】

1. 手間がかかる

時間は相対的な概念でありながらも、一定の絶対性があります。ある作業に十分な時間でも、別の作業では足りない場合があります。2FAによって認証プロセスに追加のステップが加わるため、アカウントへのアクセスに時間がかかることがありますが、個々の利用者にとっては些細な問題かもしれません。

2. システム障害のリスク

2FAはハッカーの侵入を難しくしますが、認証プロセスが複雑になり、故障の原因となる要素が増える可能性もあります。優れた2FAであれば障害は稀ですが、発生した場合、利用者の作業効率に影響を及ぼす恐れがあります。

3. 完全な安全性ではない

どんなセキュリティ対策にも完璧はありません。2FAは単一の認証方式に比べ効果的ですが、採用する手法によっては弱点が残ることもあります。また、国家支援のハッカー集団など、高度な攻撃には対処が難しい場合があります。

MFAと2FAの違い

多要素認証（MFA）はより広い概念であり、2FAはその一部です。サービスにアクセスする前に、MFAでは複数の認証方法で本人確認が行われ、これにより情報漏洩やサイバー攻撃のリスクが低減されます。

2FAとMFAの主な違いは、2FAが追加の認証要素1つのみで済むのに対し、MFAはシステムが要求する複数の要素を用いる点にあります。

認証要素（例えば、社員証やパスワード）がハッカーに突破されないよう、企業はさらなる認証手段を実装する必要があります。特に高いセキュリティが求められる企業では、物理的、知識、生体の各要素を組み合わせたMFAが採用され、位置情報、端末、アクセス時間、継続的な行動認証などが考慮されます。

利用者が使いやすく、かつ企業が求めるセキュリティ水準を満たすシステムのバランスが認証プロセスには不可欠です。利用者は、手間がかかる認証手続きは避けがちです。

2FAの安全性はどの程度か

2FAによりセキュリティは向上しますが、その安全性は最も弱い要素に依存します。たとえば、ハードウェアトークンは提供元やメーカーのセキュリティに左右されます。2011年にRSA SecurityがSecurIDトークンの侵害を発表したことは、2FAシステムの脆弱性が露呈した代表例です。

利用者のパスワードが定期的に変更され、一時パスワードで再ログインできる仕組みは、アカウント復旧プロセス自体の脆弱性を生む可能性があります。この手法で、CloudflareのCEOのGmailアカウントが攻撃された事例もあります。

SMSを利用した2FAは、低コストで導入しやすく利用者にも親しまれていますが、メッセージの傍受や転送、携帯電話番号の移動、通信事業者への攻撃などにより脆弱とされています。米国国立標準技術研究所（NIST）は、スペシャルパブリケーション800-63-3：デジタルアイデンティティガイドラインにおいて、SMSによるOTPは安全性が低いと指摘しています。

‍

2FAのベストプラクティス

アカウントをユーザー名とパスワードのみで守るべきではありません。近年の企業セキュリティ違反の多発は、ハッカーが容易にアカウントに侵入できることを物語っています。

ただし、2FA自体がオンライン上のなりすましを完全に防ぐ手段ではありません。生体認証や認証アプリ、SMSの利用は完璧ではないものの、何もないよりは優れています。企業は以下の2FAセキュリティ対策も併せて実施することが推奨されます。

• 個人の携帯番号を利用したSMSによる2FAは使用しない。
• ハッカーが通信事業者を騙してアカウント情報を変更する手口があるため、固定された専用のGoogle Voice番号を用意し、携帯キャリアによる変更を防ぐ。
• メールによるアカウントリセットは避ける。
• メールでのリセットが可能だと、ハッカーが他の2FA層を突破し、ユーザー名とパスワードだけでアカウントに侵入するリスクが高まる。
• 複数の認証方法を併用する。
• 複数の2FA手段を組み合わせることで、多くのアカウントを守ることができ、認証手段が増えればデータの安全性も向上する。

将来はどうなるか

3要素認証は、物理トークンとパスワードに加え、指紋や音声印などの生体データを組み合わせる場合が多く、より高いセキュリティが求められる状況で有効です。さらに、位置情報、端末の種類、利用時間なども判断材料となり、利用者のキーストロークパターン、打鍵速度、マウスの動きなどを行動生体認証として解析し、断続的な認証ではなく継続的な本人確認が試みられています。

従来の認証手段としてパスワードを中心に据える方法は一般的ですが、現代の企業が求める安全性や利用体験を常に提供できるとは限りません。さらに、パスワードマネージャーやMFAといった旧来のセキュリティ手法も、根本的には古いパスワードデータベースに依存しているのが現状です。

現在、多くの企業がパスワード不要の認証を採用しています。生体認証や安全なプロトコルを利用することで、利用者はパスワードを入力せずにアプリへ安全にログインでき、職場では従業員がパスワードなしでアカウントにアクセスできる一方、IT部門は各ログインをしっかり管理することが可能です。