皆さんこんにちは。インフラサービスチーム橋本です。

皆さんプライベートや仕事で、インターネット上のサイト、サービスにログインやサーバーにアクセスする際、多くの場合IDやパスワードの入力を行いますよね。
悪意のある第三者が不正に取得したパスワードで勝手にログインできる可能性があり、パスワードのみの認証は安全とは言い切れません。
今回のブログでは情報漏えいや第三者からの不正アクセスに対するセキュリティ対策として、二要素認証に関して、以下の内容を解説していきます。

目次
■利用者認証の理解
■多要素認証について
■なぜ二要素認証が必要なのか？

■利用者認証の理解

二要素認証を説明する前に、利用者認証について説明します。
利用者認証とは、利用者が間違いなく利用者本人であることを認証することを言います。
個人情報を保護し、不正ログインやアカウントの乗っ取りを試みる悪意ある第三者から、大切な情報を守るために認証という本人確認が必要になります。
利用者の認証には三つの要素が存在します。
二要素認証を理解する為に、認証の三要素について説明します。

・知識による認証（Something you Know）
その情報を知っていればログインできる認証
例）利用者IDとパスワード

・所有品による認証（Something you Have）
本人しか持っていないもので認証
例）ICカード、ワンタイムパスワード

・生体情報による認証（Something you Are）
身体的特徴や行動的特徴（癖）の情報を用いて行う認証
例）指紋認証や静脈パターン認証
その他、目の網膜、虹彩など

■多要素認証について

多要素認証とは、上記で説明した三つの要素を複数組み合わせた認証を言います。
特に、異なる二つの利用者認証の技術を使用することを、二要素認証と言います。

ID/パスワードとSMSなどのメッセージで送られてくる認証コードを使用した例で二要素認証を説明します。

①ID/パスワードを入力
②利用者が登録しているスマホへSMSにてワンタイムパスワードが届く
③利用者がワンタイムパスワードを入力
④本人として認証され、サイトの閲覧が可能となる

上記は、
①ID/パスワード（知識による認証）
②SMSのワンタイムパスワード（所有品による認証）
による認証を行っています。

二要素認証では、1つ目の認証が突破されても2つ目の認証でブロックすることで、強固な本人確認が可能となります。

■なぜ二要素認証が必要なのか？

主な目的はセキュリティの強化です。
令和３年に都道府県警察から警察庁に報告がなされた不正アクセス行為の認知・検挙状況の報告によると
他人のID/パスワードを不正に利用した行為は、不正アクセス行為全体の90％以上を占めているそうです。
パスワード窃取の手法も、
・フィッシング詐欺やソーシャルエンジニアリング
・マルウェア
・ブルートフォース攻撃
・のぞき見
等があります。

ID/パスワードによる認証だけでは、不正アクセスから大切な情報を守ることが難しくなってきています。

今回は、二要素認証について概要をまとめました。
個人や、企業ですでに利用、導入されている方も多くいらっしゃると思います。
本記事がセキュリティ対策について理解を深めたいという方の参考になれば幸いです。

参照）
１）デジマケ・チャンネル～多要素認証はなぜ必要？二段階認証･二要素認証との違いは？～
[https://media.samurai-net.co.jp/multi-factor-authentication/]
2）総務省～不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況～
[https://www.soumu.go.jp/main_content/000807446.pdf]
３）サイバーセキュリティ情報局～ハッカーがパスワードを盗む5つの方法と、その対策～
[https://eset-info.canon-its.jp/malware_info/special/detail/220511.html]