インターネットと切っても切れない関係にあるセキュリティ問題。なかでも馴染みがあるセキュリティ方法が「二段階認証」だと思います。読者の方も、様々なサービスで二段階認証を設定しているものと思われます。

しかし、二段階認証とは別に「二要素認証」というものがあるのを知っていますでしょうか？ この二要素認証はどのようなものなのか。そして、二段階認証とは何が違うのか。今回は、主にこの二要素認証に迫ってみようと思います。

二要素認証とは

二要素認証とは、異なる要素を2つ組み合わせる方法を言います。「認証の三要素」と言われる「知識」「所有」「生体」の要素を2通り組み合わせます。それぞれの定義は下記の通りです。

・知識：「本人が知っていること」（暗証番号、パスワード等）
・所有：「本人が持っているもの」（キャッシュカード、スマホ等）
・生体；「本人の特徴」（指紋、顔、静脈等）

例えば、銀行ATMなどは、キャッシュカード（所有）と暗証番号（知識）を組み合わせた認証方法です。どちらか一方が無いとお金を引き出すことができません。二要素認証は目新しいものではなく、昔からあるものなのですね。ちなみに英語表記（Two Factor Authentication）を略して「2FA」と呼ばれることもあります。

二段階認証とは

一方、二段階認証とはその名の通り2段階で認証を行うものを言います。通常はIDとパスワードによる認証のみ（一段階）ですが、それに加えて2回目の認証を求めます。2回目の認証の例としては、スマホに送られてくる認証コードの入力を求めたり、指紋認証を求めたりすることが挙げられます。また、あらかじめ設定した秘密の質問（「ペットの名前は？」とか「中学校の時の部活は？」といった類のもの）も2回目の認証です。1段階、2段階の認証を突破しなければ、利用したいサービスに辿り着けない仕組みになっています。英語表記（Two-Step Authentication）を略して「2SA」と呼ばれることもあります。

二要素認証と二段階認証の違い

では、二要素認証と二段階認証の違いは何なのでしょうか？ どちらも複数の要素を使っている認証方法（これを多要素認証と言います）ですが、二要素認証が確実に2つの要素を使って認証しているのに対し、二段階認証は必ずしも2つの要素を用いません。例えば上の例で言えば、ID・パスワードでの認証（一段階）と秘密の質問（二段階）はどちらも「知識」要素です。同じ要素でも異なる角度の情報を組み合わせることで、セキュリティを強固にしているのです。

二要素認証が普及してきている

二段階認証は強固な認証であることは間違いないのですが、欠点があります。それは、「秘密の質問」の落とし穴です。SNSの普及により、誰でもインターネット上に情報を上げることができるようになりました。そのため、「誕生日」「ペットの名前」「出身中学校」などが簡単に調べられるようになったのです。これにより、二段階認証の秘密の質問も簡単に見破れるようになりました。これではセキュリティが脆弱であると言わざるを得ません。そこで、二要素認証が普及してきているのです。

例えばネットバンキングで導入が進んでいるのが、「ワンタイムパスワード」や「乱数表」の利用です。ワンタイムパスワードとは、その名の通り一度きりのパスワード。一定時間しか生成されないパスワードであり、時間が過ぎてしまうとそのパスワードは使えなくなってしまいます。ワンタイムパスワードは、主にその銀行のスマホアプリなどで発行され、ネットバンキングの入力フォームに入力することで銀行のサービスを利用できるようになります。乱数表とは、金融機関から発行される専用のカードに数字の羅列が書かれているもの。認証の際には、例えば「7番目に書かれている数字、3番目に書かれている数字…」というふうに画面に表示され、その指定された数字を入れていくことで認証を突破することができる仕組みになっています。その他、指紋や虹彩、顔認証などによる「生体認証」による認証もあります。

筆者もよくネットバンキングを利用しますが、振込時にワンタイムパスワードを求める金融機関がほとんどですし、すでに普及している印象があります。現時点では、二段階要素がセキュリティ強化に有効であると言える証拠なのかもしれません。

二要素認証も万全ではない

とはいえ、二要素認証も完ぺきではない点に注意が必要です。

たとえば、自分が寝ている間に悪意のある第三者がスマホの指紋認証を突破できることは安易に想像できます。指紋認証さえ突破してしまえば、あとはワンタイムパスワードを発行すれば、第三者でもお金を送金することは可能になってしまいます。また、写真に写っているピースサインから指紋を盗み取れるという衝撃的な事実もあります。このように、二要素認証だからといって油断は禁物なのです。

二要素認証だからといって過信しない

二要素認証だから完璧ではない、ということは前述した通りです。二要素認証を過信せず、スマホ等端末を誰かの手の届くところに放置しないようにすることや、安易に個人情報をSNSにアップしないようにすることが重要です。同時に、簡単に推測されやすいID・パスワードを使わないようにするなど、セキュリティの基礎を改めて振り返り、実践していくことが大切です。面倒ではありますが、自分の資産等を守るためにも必要なものです。ぜひ一度ご自身でセキュリティについて考える機会を持ってみてはいかがでしょうか。

【参考資料】
・二段階認証と二要素認証の違い | アシスト
・二要素認証(2FA)とは？セキュリティ向上のポイント5つ | ノートン
・二要素認証と二段階認証の違いを理解していますか？ | サイバーセキュリティ情報局

（安齋慎平）