2段階認証を推進する開発パートナー選びのポイント
「2段階認証」という用語を聞いたことがありますでしょうか?「2段階認証」は、認証作業を2回行うことをいいます。
WebサイトのログオンIDとパスワード入力の他に、アプリケーションでのログイン可否の選択・セキュリティコードの入力を追加することで、ご利用者様以外が不正に情報にアクセスすることを防止する仕組みです。
IT技術の飛躍的な進歩のより、私たちのライフワークの利便性が改善されています。
その反面、ログオンIDやパスワードの情報漏洩や不正アクセスによるセキュリティー上の問題も多く存在しています。
特に、決済サービスで金融庁より「電子決済等代行業者のセキュリティーの高度化等について(要請)」を通して多要素認証が義務付けられている状況です。
そのための各企業・団体はセキュリティーを強化しています。
セキュリティー強化に使われる手段の1つが、「2段階認証」です。
これから「2段階認証とは何か?」2段階認証の種類やメリット・デメリット、2段階認証でセキュリティーを高めるポイントを紹介していきます。
目次
1.2段階認証とは何か?
「2段階認証」とは、文字通り認証を2段階にした仕組みです。
企業・団体の基幹システムから情報漏洩・不正アクセスの問題が発生すると、利用者からの訴訟やSNS上でバズることで、企業・団体の経営に影響があるために、セキュリティー対策を強化しています。
特に、セキュリティー上の脅威になっていることが「なりすまし」です。
悪意ある犯罪集団(者)が、その人のアカウントを悪用する事象が多くなっています。
そのため「なりすまし」を生じないよう導入させた認証の仕組みが「2段階認証」です。
「2段階認証」はWebサイトのサービスやアプリケーションにログイン(ログオン/サインイン)する時に、2つ以上の項目によって本人確認を行う認証」のことです。
認証の項目は3つの項目があり、2つ以上の項目を組み合わせることで成立します。
3つの項目は、
- 知識項目(要素)
利用者(ユーザー)だけが知っている情報(例:パスワード)のことです。 - 所持項目(要素)
利用者(ユーザー)だけが持っている情報(例:マイナンバー・運転免許証の番号・パスポートの番号など)です。 - 生体項目(要素)
利用者(ユーザー)自身が持っている情報(例:顔・指紋・虹彩・静脈など)です。
「2段階認証」は、上記の認証要素を2段階で認証します。
「2段階認証」する認証項目は同じ要素を使用することが可能です。
たとえば、第1パスワード+第2パスワードを入力するケースが多いようです。
指紋認証・虹彩認証をする場合、読み取り機器の導入や照合システムを構築する必要があるので、一般利用に導入されていません。
2.2段階認証の種類
「2段階認証」の種類を紹介します。
第1に「SMS」です。
「SMS」は、ショート・メッセージ・サービス(Short Message Service)の略称です。
携帯電話・スマートフォンに「認証コード」を送る方式です。
現在、ポピュラーな認証方法になっています。
但し、携帯電話かスマートフォンが必要になります。
Webサイト・アプリケーションへログオンしたとき、「SMS」で送られた認証番号を入力しないと、その先のすすむことができません。
金融機関の振り込みサービスやECサイトの決済サービスなどで多用されています。
第2に「音声通話」です。
電話の自動音声で認証コードを伝えます。
認証元の登録した電番だけが受電できる仕組みです。
2要素からなる「2段階認証」です。
と言えます。
第3に「eメール」です。
上記で紹介した「SMS」に似た仕組みです。
使用しているメールアドレスに、認証用ワンタイムパスワードや認証用URLを送る方式です。
「SMS」と同様に広く利用されている「2段階認証」の仕組です。
「SMS」と同様に金融機関の振り込みサービスやECサイトの決済サービスなどで多用されています。
第4に「アプリケーション」です。
Webサービスにログインしようとした時にアプリケーションに通知を送り、その通知を許可した時にだけログインできる仕組みです。
第5に「物理的端末」です。
物理的な端末をセキュリティーキーとしてアカウントと組み合わせて認証を行います。
物理的な端末セキュリティーキーを保有していることが本人確認となる仕組みです。
物理的端末とは、USBメモリ型の小型端末を用いた認証方式です。
第6に「トークン」です。
トークンを通知するカード型の機器・ポケベルのような機器・USB端子接続を用いて、ワンタイムパスワードを制限時間内に入力する認証方式です。
外部端末方式の「2段階認証」は、安全性と信頼性が高いとさせている仕組みです。
3.2段階認証のメリット
「2段階認証」のメリットを紹介します。
パソコン・タブレット端末・スマートフォンからWebサイトやアプリケーションにログインをするとき、IDとパスワードの入力だけですと、フィッシング・スキミングなどでアカウントが盗み取られる危険があります。
「2段階認証」を導入することで、前章で紹介した機能で「第2パスワード」「認証コード」「セキュリティーキー」を設定することで、セキュリティー対策が飛躍的に向上します。
「2段階認証」の導入により、もし第1パスワードが漏れたとしても不正アクセスを抑止することができます。
また、第1パスワードを定期的に更新することも重要な手段です。
4.2段階認証のデメリット
「2段階認証」のデメリットを紹介します。
パソコン・タブレット端末・スマートフォンからWebサイトやアプリケーションにログインするとき「2段階認証」の機能があると、認証手続きが複雑になってしまうことです。
ログインをするときに、使用しているパソコン・タブレット端末・スマートフォン以外から「ワンタイムパスワード」「第2パスワード」「認証コード」を控えてから、本体に入力する二度手間が必要になることです。
これは、アカウントの盗難を防ぐために処置です。
さらに、「物理的端末」「トークン」で「2段階認証」をするために機器を導入する必要があります。
機器には導入コストを要します。
フィッシング・スキミングをされて大きな損失を受けることを勘案すると高価な投資といえるでしょうか?よく検討しましょう。
5.2段階認証でセキュリティーを高めるポイント
「2段階認証」でセキュリティーを高めるポイントを紹介します。
第1に「第三者が推測できないようなパスワード設定」です。
「2段階認証」の仕組みが導入しているログイン機能のログインID・パスワードのキー項目は、利用者自身で設定します。
皆さん経験があると思いますが、Webサイト・アプリケーションにログインすると「定期的にパスワードを更新しましょう」「長い間パスポートが更新されていません」等のメッセージが表示されます。
フィッシング・スキミングを回避するために第三者にパスワードを特定されようにする必要があります。
簡単なパスワードは自分でも覚えやすいですが、同時に第三者にとっても推定しやすいパスワードになる可能性があります。
そのため対応策は①桁数を増やすこと、②異なる種類の文字を組み合わせる(アルファベットの大文字・小文字と数字を取り入れる)こと、③意味のある文字列を使わない(誕生日・電話番号など)こと、④利用者に縁がある文字列は使わないこと、④ありきたりなパスワードは使わない(1234、abcdなど)ことです。
第2に「認証をするための端末の使い分け」をすることです。
現在使用しているパソコン・タブレット端末・スマートフォン機器単体で銀行振込・EC決済ができると即時処理が可能で手間も掛かりません。
しかし、単体の機器で「2段階認証」をして処理を完結したとき、フィッシング・スキミングされる可能性がないといえません。
面倒でも、パソコン・タブレット端末・スマートフォンを独立させた認証メッセージ確認ができるよう改めましょう。
たとえば、パソコンで第1パスワードを入力する。
第2パスワードはスマートフォンに送信された認証番号を入力するようにして、セキュリティーを強化しましょう。
6.2段階認証を推進する開発パートナー選びのポイント
「2段階認証」導入は、企業・団体が導入している基幹システムを導入している開発パートナー企業に相談してみましょう。
「2段階認証」機能に改める業務は何か?その業務アプリケーションの機能で「2段階認証」にバージョンアップすることができるのか?その業務アプリケーションをシステム改修しないと機能追加ができないのか?選択肢が多くあります。
「2段階認証」機能を追加するため基幹システムを改修すると多額な費用が掛かります。
「2段階認証」機能の採用は、企業・団体が導入している基幹システムの開発パートナーに事前相談してみることをお勧めします。
大手電機メーカー、ITベンダー企業、ITベンチャー企業は基幹システムをする部門以外に「2段階認証」をサポートする担当エンジニアをスタンバイさせています。
現行の基幹システムを導入した開発パートナーの営業担当やプロジェクト・マネージャーに相談してみましょう。
まとめ
セキュリティーを強化する仕組みは多くあります。
たとえば、基幹システムにログオンするIDとパスワードに加えて「秘密の質問」「あなたの趣味は?」「出身小学校名は?」等を回答しないと先にすすめない「2段階認証」方式があります。
多額な費用を掛けた「2段階認証」は有益ですが、「2段階認証」を工夫した仕組みを取り入れることで、安価で安心・安全を得ることもできます。
システム開発のITパートナー探しをされるのであれば
システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。
以下のフォームより開発でご相談いただきたい内容などご相談ください。
