メインコンテンツまでスキップ
紫色の六角形のパターン

2FAとは何ですか?

二要素認証または二段階認証は、システムやサービスへのアクセスを許可する前に、2つの異なる形式の識別(要素とも呼ばれます)を要求するセキュリティ対策です。 2つ目の認証要素は、もう1つの保護レイヤーを追加し、不正アクセスをより困難にします。

従来、ユーザ認証は、電子メールアドレスまたはユーザ名とパスワードのみを必要としていました。 これはログイン認証情報の組み合わせを含みますが、技術的にはまだ1つの認証要素に過ぎません。

さらに、強力なパスワード衛生管理なしでは、サイバー脅威がセキュリティを迂回し、オンラインアカウント、アプリケーション、またはリソースが簡単に危険にさらされてしまいます。 そうなれば、どれだけの機密情報が漏洩してしまうか分かりません。

要するに、それが2FAが注目されるようになった理由です。 データ漏洩のリスクを軽減するだけでなく、個人情報の盗難やその他の脅威から従業員や消費者を守ることができます。

2FA認証の要素

認証要素は、特定のユーザに関連付けられた一意の識別子です。 ほとんどの2FAシステムは、従来の3つの認証要素のうち2つを活用しています:

  • 知識要素: パスワード、暗証番号、セキュリティー質問に対する答えのような、利用者のみが知ることができるもの。
  • 所有要素: セキュリティ鍵、モバイルデバイス、IDカードなど、利用者のみが持っているもの。
  • 固有要素: ユーザーだけがなれるもの。 生体認証の一形態として、顔認識、指紋、虹彩スキャンを使用して本人確認を行います。

上記に加えて、今日の最先端ソリューションの多くは、2つの新しい適応型認証要素を活用しています:

  • 行動: これは、行動パターンに関連するデジタル成果物を分析するものです。 例えば、2FAシステムは、ログインの試みが、ユーザの信頼できるデバイ スではなく、新しい携帯電話から来た場合、疑わしいとみなすかもしれません。
  • 場所: この要素は、IPアドレスとGPSロケーションを分析し、ユーザ認証のために地理を考慮します。

通常、組織は、上記の要素の組み合わせを要求するように2FAシステムを構成できます。 利用者は、オンラインアカウント、サービス、またはシステムにアクセスするために、能動的であるか受動的であるかにかかわらず、要求された情報を正しく提出しなければなりません。

2FAと MFA

理論的にはいくつでも認証要素を集約できるのに、なぜ2つの要素で止めるのですか? 要するに、これが多要素認証(MFA)の考え方です。 

MFAは2FAの拡張であり、2つ以上の認証要素を含みます。 簡単に言えば、後者は前者のサブセットです。

両者の決定的な違いは、MFAがより適応的であることです。 言い換えれば、動的にステップアップ認証を実施し、コンテキストに基づいて第3の認証要素を提供するようユーザに要求することができます。

2FAは効果的なセキュリティ対策ですが、MFAは多くの場合より包括的なソリューションです。 そのため、IT専門家を対象とした調査によると、83%の企業が、従業員がすべての企業リソースにアクセスするためにMFAを使用することを義務付けています。

ユースケース

二要素認証は、MFAの中でも最も一般的な形式であり、様々な人がデータにアクセスする必要があるユースケースに最適です。 例えば、医療用アプリケーションでは、医師やその他の臨床医が個人のデバイスから患者の機密データに必要に応じてアクセスできるようにするため、一般的に2FAが使用されています。

その他の注目すべき産業用途には、以下のようなものがあります:

  • 金融: 銀行やその他の金融機関は、なりすましや詐欺から保護するために2FAを使用し、顧客が安全なモバイルバンキングでオンライン口座にアクセスできるようにしています。
  • 政府機関: 米国では、すべての連邦政府のウェブサイトに2FAが義務付けられており、機密情報と市民データが鍵のかかった状態に保たれるようになっています。
  • 高等教育: 大学は、成績、スケジュール、個人情報が保存される学生ポータルのセキュリティを確保するために2FAを利用しています。
  • ソーシャルメディア: フェイスブックやX(旧ツイッター)などのプラットフォームは、個人情報を保護し、アカウントのセキュリティを強化するために2FAサービスを提供しています。

2FAの仕組みとは?

2FAのプロセスはシンプルです。 詳細は認証方法によって異なるかもしれませんが、基本的なワークフローは以下の通りです:

  • ユーザログイン: ユーザがユーザ名とパスワードを入力します。
  • 認証リクエスト: プライマリログインが成功すると、システムは2番目の認証要素を起動します。
  • ファクター検証: ユーザは、認証アプリによって生成されたワンタイムトークンやパスコードなどの第2の要素を提供します。
  • アクセス許可: 両方の要素が確認されれば、ユーザはシステムにアクセスできます。 通常、これは数秒で行われ、ユーザエクスペリエンスへの影響はほとんどありません。

2要素認証のメソッド

2FAシステムが認証要素を要求する方法はいくつかあります。 それぞれに浮き沈みはありますが、いずれも口座の安全性を高めるための一歩です。

ここでは、最も一般的な認証方法とその仕組み、そしてそれらがもたらす価値について見ていきます:

メールおよびSMS認証

この方法では、ワンタイムパスコード(OTP)を電子メールの受信トレイ、または携帯電話にテキストメッセージとして送信します。 OTPとは5桁から10桁の認証コードであり、正しく入力されると、要求されたリソースへのアクセスを許可します。

SMS認証は、最も便利でユーザフレンドリーなソリューションの1つです。 また、モバイルデバイスが利用可能であることから、ユーザは簡単に始めることができます。

しかし、サイバー脅威に対しては脆弱でもあります。 ハッカーは、暗号化されていないことが多いSMSメッセージを簡単に傍受できます。 さらに、攻撃者が被害者の携帯電話に物理的にアクセスできれば、OTPを直接読むことができます。

ハードウェア トークン

ハードウェアトークンは、セキュリティ鍵、スマートカード、USBドングルなどの物理的なデバイスです。 これは動的にユニークなトークンを生成するもので、通常は限られた時間しか有効ではありません。

ログイン中、ユーザはトークンのボタンを押し、トークンはアルゴリズムを使ってOTPを作成します。 ユーザはこの認証コードをデバイスまたはアプリケーションの認証プロンプトに入力します。 サーバは、同じアルゴリズムとセキュリティ鍵を使用して、独自のOTPを生成し、ユーザが入力したものと比較します。 それらが一致すれば、ユーザは認証され、アクセスが許可されます。 このプロセスにより、パスワードが漏洩した場合でも、物理的なトークンがなくても不正アクセスを防ぐことができます。

しかし、明らかな欠点は、ハードウェアトークン認証が常に実用的で、すべてのユースケースに適用できるわけではないということです。 セットアップやメンテナンスにコストがかかるうえ、デバイスの置き忘れや盗難の可能性もあります。

ソフトウェアトークン

ソフトウェアトークンは、ユーザのコンピュータまたは携帯電話上の認証アプリを通じて送信される、時間またはイベントベースのOTPです。 ハードウェアトークンのように、この方法は検証コードを動的に生成します。

全体的にはユーザフレンドリーでシンプルなプロセスですが、デバイスに追加のソフトウェアをダウンロードする必要があります。

プッシュ通知

プッシュ通知は、信頼できるデバイス上の安全なモバイルアプリに直接アラートを送信することで、ユーザの身元を確認します。 このメッセージには認証試行に関する詳細が含まれ、ユーザはワンタップでアクセス要求を承認または拒否することができます。

理論的には、このプロセスは、認証アプリに登録されたデバイスがユーザの手元にあることを確認します。 プッシュ通知は、中間者攻撃のリスクを排除し、アカウントの安全を確保します。 この方式の2FAは安全ですが、インターネット接続に依存します。

バイオメトリクス認証

最後に、パスワードレス認証にはさまざまな形式がありますが、最も有名なのは生体認証です。 基本的な用語では、生体認証は、生物学的特徴を使用してIDを検証します。

例えば、iPhoneユーザは顔認証になじみがありますが、これはApple IDのアカウント情報などにアクセスするために使われています。 指紋、虹彩、網膜スキャンを使うシステムもあります。

つまり、これは紛れもなく、最も安全な2FAオプションのひとつなのです。 ユーザをトークンとして活用するだけでなく、利便性が高く、クラックはほぼ不可能です。

なぜ2FAが重要なのか?

簡単に言えば、2FAは現状からの大きなステップアップです。 アカウント、ウェブサイト、サービスを不正アクセスから守るには、パスワードベースのセキュリティではもはや不十分です。

いくつかの驚くべき統計を考えてみましょう:

  • 240億を超えるユーザ名とパスワードの組み合わせがダークウェブに出回っています。その数は2020年から2022年の間に65%増加しており、今後も増え続けるでしょう。 ほとんどの人が古いパスワードを再利用していることを考えると、一度のデータ漏洩で複数のアカウントが同時に危険にさらされる可能性があります。
  • Googleの2023 Threat Horizons Reportによると、侵害の86%は盗まれた認証情報が関与しています。 言い換えれば、サイバー攻撃はほとんどの場合、より大規模で壊滅的なサイバー脅威の根本原因なのです。
  • Verizonの2024年データ侵害調査報告書は、報告された侵害の68%は、脆弱なパスワードなどの「人的要素」が原因であると結論づけています。

さらに悪いことに、強固なパスワード管理をしていても、アカウントに侵入するのにそれほど時間はかかりません。 たとえば、ハッカーはソーシャルメディアを閲覧して、基本的なセキュリティ質問に答えるために必要な個人情報を簡単に見つけることができます。

良いニュースがあります: 2FAとMFAが助けてくれます。 実際、これらは以下のような多くのサイバー脅威を効果的に軽減してくれます:

  • 盗まれたパスワード: 前述したように、クレデンシャルの管理状態が悪いと、簡単にパスワードが盗まれてしまいます。 2FAは、盗まれたパスワードだけではアカウントに侵入できないようにするものです。
  • ブルートフォース攻撃 : ハッカーは、ますますアクセスしやすくなったコンピューティングパワーを使って、暗号を「解読」するまでパスワードをランダムに生成します。 しかし、コンピューティングパワーでは、2つ目の要素をハックすることはできません。
  • フィッシング: 2FAは、フィッシング攻撃によってユーザ名とパスワードが盗まれた場合でも、不正なアクセスから保護することができます。
  • ソーシャルエンジニアリング: 巧妙なハッカーは、ソーシャルメディアを利用して、ユーザーを騙して進んで認証情報を提供させる攻撃を仕掛けてくることが多くなっています。 しかし、2つ目の要素がなければ、この努力は無駄になります。

2FAとゼロトラスト

重要なことは、強力な認証は、IDおよびアクセス管理(IAM)、ひいてはゼロトラスト・アーキテクチャの主要部分であるということです。 2FAは、ユーザの役割や権限だけでなく、デバイス、行動、場所などに基づいてアクセス決定を行い、本人確認を厳格に実施することで、企業のゼロトラスト導入をサポートします。

2FAの実装: ヒントとベストプラクティス

2要素認証をご検討中ですか? 以下は、留意すべき重要なステップです:

1. 適切な認証要素を選択する

それぞれのタイプの認証方法にも、さまざまな選択肢があり、常に新しい技術が開発されています。 2FAプロトコルに使用する要素をどのように選択するか?

ここでは、正しい選択を検討するためのいくつかの質問を紹介します。

  • ユーザーに対して透過的な認証をお求めですか?
  • ユーザーに物理デバイスの携帯を要求しますか、それともオンラインで認証しますか?
  • ウェブサイト自体がユーザーに対してウェブサイトの認証を行うようにしますか?
  • 保護している情報はどの程度機密性が高いですか?関連するリスクは何ですか?
  • オフィス、ラボ、またはその他の領域への物理的なアクセス(結びつき)は、ユーザー要件の一部ですか?

Entrustは、最も幅広い2FAセキュリティ認証方法 をサポートしており、お客様のセキュリティニーズやユースケースに応じた最適なオプションを選択することができます。 さらに重要なこととして、Entrustは専門家によるコンサルティングを提供しており、適切なオプションを選択し、高保証の二要素認証への移行を簡素化することができます。

2. ユーザエクスペリエンス(UX)の戦略

2FAは一般的にシームレスなワークフローですが、ユーザに不便な余分なステップを負担させるのは最も避けたいことです。 煩雑なプロセスは顧客を口座開設から遠ざける可能性があるため、デジタルオンボーディングではユーザエクスペリエンスが特に重要です。

セキュリティ、スピード、UXのバランスが取れた2FAソリューションを探しましょう。

3. 2FAインフラの保護

2FAコードまたはトークンの送信を含む通信が、トランスポートレイヤーセキュリティのような安全な暗号化プロトコルを使用して暗号化されていることを確認しましょう。

4. 適応認証の検討

ユースケースによっては、より堅牢な多要素ソリューションが必要な場合もあります。 適応型認証(リスクベースのステップアップ認証)は、ID を確認する動的な方法です。 コンテキストを認識する方法として、認識されたリスクに基づいて、必要とされる認証のレベルとタイプを調整します。

例えば、アダプティブMFAは、すべての条件が正常に見える場合にのみ、ユーザ名とパスワードを要求することができます。 しかし、異常なIPアドレスからのログインの場合は、ワンタイムベリフィケーションコードのようなステップアップチャレンジを発行することができます。 セキュリティと利便性のバランスをとり、正規のユーザが最小限の摩擦でリソースにアクセスできるようにする一方で、疑わしい行為に対してはより厳格な措置を実施します。

Entrustでセキュリティを強化

Entrust Identity、当社の統合IAMポートフォリオは、組織が効果的なゼロトラストアーキテクチャを実現するために必要な基盤を提供することができます。 当社の一連のセキュリティツールを使用すれば、それを活用することができます:

  • Identity as a Service: フィッシングに強いMFA、パスワードレス認証、シングルサインオン(SSO)を備えたクラウドベースのIAMソリューション。
  • Identity Enterprise: スマートカード発行を含む、高信頼性の従業員認証と消費者認証を備えたオンプレミスIAM機能。
  • Identity Essentials: Windowsベースの組織に対しゼロトラストアプローチの実現を可能にする、コストパフォーマンスの良い多要素認証(MFA)ソリューション。

Entrustがどのようにお客様のビジネスに多要素認証の力を発揮させることができるか、詳細をご覧ください。