IDとパスワードだけじゃ心配?
多要素認証でセキュリティの強化を!
2017年2月3日
サービスを利用開始するにあたり、システムにログインする際はIDとパスワードを用いるのが一般的です。これはユーザを識別する情報としてID、それを確認する情報としてパスワードを用いて認証としています。
しかし、IDは「社員番号」や「メールアドレス」などの他人でも知っている情報を使うことが多いです。パスワードも同様に、安易に誕生日などにしてしまい、なりすましでログインされる事故が増えています。
このようにログイン先の情報やサービスによっては、IDとパスワードのみの認証では心もとない場合があります。そこで、今回はいくつかの認証を組み合わせることで、より高度なセキュリティを保つ方法をご紹介します。
目次
- 1. 認証要素の種類
- 2. 最近、増えているのが多要素認証の導入
- 3. 企業も多要素認証を導入しよう
1. 認証要素の種類
認証の要素は3種類に分類できます。いずれも、利用者本人しか知りえない、持ちえない情報が基本です。いくつかの例と共に、ご紹介します。
①知識情報:記憶・知っていること
例:ID/パスワード、秘密の質問
最近では「初めて飼ったペットの名前は?」「好きなスポーツチームは?」等の質問を選び回答を答える秘密の質問もあります。
本人が知っている情報をもとに利用者の認証を行う方法です。この方法では他人に知られないよう注意するのはもちろんですが、悪意のある第三者から攻撃されやすいのが難点です。
②所持情報:持っているもの
例:ICカード、ワンタイムパスワード
具体的には、ICカードは入館時に利用するIDカードなどで、ワンタイムパスワードはショートメールで届く期限付きのパスワードです。
このように本人のみが所有しているものを利用し、認証する方法です。所有物については盗難、紛失の危険性がありますが、①の知識情報と組み合わせて用いることが多く、併用によりセキュリティの向上が期待できます。
③生体情報:バイオメトリクス
例:顔認識、指紋認証
本人の指紋や虹彩などの生体情報を利用し、認証します。本人自体の情報となるため、①や②と異なり忘れることや、紛失の心配はありません。高度な認証方法のため不正利用は困難ですが、導入費用が高額な場合が多いです。
2. 最近、増えているのが多要素認証の導入
多要素認証とは、読んで字のごとく、認証要素を多くしたセキュリティ対策です。先ほど紹介した「認証要素」の中から2種類以上を組み合わせる方法で、高度なセキュリティの下で管理ができます。現在では、①の「ID/パスワード」にもう一つの要素を加えた【二要素認証】が代表的です。身近な所では銀行のATM利用時に使われています。「キャッシュカード(②本人しか持っていないもの)」+「暗証番号(①本人しか知らない情報)」による二要素認証です。
異なる要素の認証方法を利用すれば、悪意のある第三者の不正アクセスや不正利用のリスクを軽減できます。
3. 企業も多要素認証を導入しよう
昨年施行されたマイナンバー制度を皮切りに、あらためて情報セキュリティに対する危機管理は高まっています。総務省は各自治体の業務端末への二要素認証を必須と定めましたが、SNSやインターネットサービスにおいても多要素認証の導入が見受けられます。重要な情報を所持する企業も、積極的に多要素認証の導入を検討すべきでしょう。
まとめ
- 認証要素には、記憶情報、所持情報、生体情報がある。
- 認証要素を組み合わせることにより、セキュリティの向上につながる。
- 多要素認証を導入するサービスが増えてきている。
関連記事
2017年もセキュリティ強化を!セキュリティメーカー各社の予測まとめ 2017/1/13
トレンドマイクロ社などのセキュリティ対策製品をリリースしている各社は、年末年始に、前年のセキュリティの脅威に関する振り返りと、次年…