二段階認証とは？仕組み・導入方法について解説

ショッピングサイトやアプリなどを運営する上でセキュリティ対策をおろそかにするわけにはいきません。しかし二段階認証の導入を検討しているものの、二段階認証が果たしてどういう仕組みなのか、今ひとつよく分からないという人も多いのではないでしょうか。この記事では、二段階認証の仕組みとメリット、導入方法について詳しく解説します。

二段階認証とは

二段階認証とは、スマホやパソコンでアプリを使用する際や、ホームページにログインする際などに、2回認証を求められることです。例えば、二段階認証ではパスワードを2種類入力したり、IDやパスワードを入力した後に指紋認証や生年月日の入力などが求められます。認証を2回行うことによって1回しか行わない場合よりもセキュリティ面でより強固になることから、多くのアプリやサイトが導入している方法です。

認証に用いられる3つの要素

認証に用いられる要素を3つご紹介します。それぞれの特徴や注意点を把握して、サービスごとに最適な認証方法を選びましょう。

知識の要素

ユーザーの記憶や嗜好によって認証を行うのは「知識の要素」と言われています。パスワードや秘密の質問などはこの知識の要素にあたります。特徴としては導入ハードルが低く最も普及している認証要素のため、ユーザーとしても馴染みのある認証方法となっています。しかし、どのようなパスワードを設定するかはユーザーに委ねられるため、誕生日等の個人情報から特定されやすいパスワードの場合のセキュリティ面が課題に挙げられます。英数字や大文字小文字の混同を必須条件にすることでセキュリティの強化は可能ですが、人によっては様々なサービスでパスワードを使い回す方もいるので必ずしもセキュリティレベルが高いとは言えません。

所有の要素

ユーザーの所有している携帯電話やキャッシュカードを用いて認証を行うときは「所有の要素」を用いています。最も有名なのはSMSを用いた認証方法で、それぞれの携帯電話にユニークの電話番号が付与されていることを利用し、その携帯電話の所有を証明することで本人確認を行うという手法をとっています。他にも、キャッシュカードにランダムに数字を羅列した乱数表を用いた認証や認証コードを表示するガジェットと連携したものなどがあります。二段階認証の手段としても広く使われていますが、注意点としては認証に用いる所有物の紛失があった際にサービスの利用ができなくなる点が挙げられます。この要素を用いて認証を行う際にはユーザーに所有物の管理をお願いするとともに、紛失があった際の対処法等も考えておく必要があります。

生体の要素

顔や指紋等の「生体の要素」を用いた認証は最もセキュリティレベルが高いとされています。種類としては指紋、顔、虹彩、声紋等があります。様々な環境、ニーズに合わせて設定することが可能で、セキュリティレベルも高いですが、注意点としては身体的に何らかのハンディキャップの影響で認証に使用できない可能性がありますので、代替の認証方法を用意しておく必要がある点です。

二段階認証と二要素認証の違いは？

二段階認証とよく似たものに二要素認証があります。二要素認証とは、IDとパスワードによる認証とは別に指紋やSMSで送られてくる確認コードなど、まったく別の要素による認証を行うことです。そのため二段階認証には、IDとパスワードの入力を2回行うだけの場合も含まれています。たとえ要素は1つであっても、認証を2回を行えば二段階認証なのです。

二段階認証の中で、1回目の認証と2回目の認証が全く異なる要素によるものだった場合に、二要素認証と呼ばれます。

二段階認証が広がりを見せている理由として挙げられるのが、スマホの普及とその汎用化です。近年ではスマホを用いて通話やインターネット、メールだけでなく、ネットショッピングや電子マネーによる決済なども行われています。このことは同時に、IDやパスワードが外部に流出してしまう恐れが増している、ということでもあるのです。もちろん、セキュリティシステムは日々進化していますが、セキュリティを突破する技術もまた、セキュリティシステムの進化に伴って巧妙になってきているのです。

どれだけ強固なセキュリティシステムを組んだところで、それが突破されない保証はありません。一段階だけのセキュリティシステムの場合、1度突破されただけで悪意のある第三者に情報が盗まれてしまうリスクがあります。そこで、よりセキュリティシステムを強固なものにするために二段階・一要素ではない二段階・二要素の認証システムが求められているというわけです。

二段階認証の仕組みとメリット

二段階認証には、IDとパスワードの入力を2回行う一要素・二段階認証と、IDとパスワードの入力後にまったく別の要素による認証を行う二要素・二段階認証があります。二段階認証が導入される際に多いのが、この二要素・二段階認証です。二要素・二段階で認証を行った方が、よりセキュリティ面で安心なため、多くの企業で導入されており、この二要素・二段階認証には、いくつか種類があります。

ワンタイムパスワード認証

もっとも一般的なのが、IDやパスワードとは別にコードを入力するタイプの二段階認証です。ここで入力するコードは、ワンタイムパスワードと呼ばれています。この認証方法は携帯電話の所有の要素を用いた認証で、ワンタイムパスワードは随時SMSなどで送信されるそのとき限りの文字列です。

この方法のメリットは、仮にIDとパスワードが外部に流出していたとしても、コードが送られてくるスマートフォンを所有していなければアプリやサイトにログインできない、ということです。これはショッピングサイトや決済サービスなどで多く導入されています。また、SMSではなく音声通話を利用して確認コードを伝える方法もあります。

USB認証

所有の要素を用いた認証方法として、USBなどの物理デバイスを利用した二段階認証もあります。専用のUSBを使用することで、特定の人のみが使用できるネットワークであるVPN接続が行えるようにします。この場合も、仮にIDやパスワードが流出していても専用のUSBを所有していなければアプリやサイトにログインできない、というメリットがあります。

生体認証

そのほか、指紋や瞳の虹彩のような生体情報による二段階認証も一般的です。生体情報以外に筆跡のような行動特徴が利用されるケースもあります。生体情報や行動特徴は他人には模倣しづらく、USBのように紛失する危険性もないのが大きなメリットです。ただし、生体認証の場合、怪我をしてしまった場合などに利用できなくなってしまうケースもあるのがデメリット。他にも成長期の子どもの場合、体が大きくなるにつれて指紋などの身体的特徴が変わってしまうため注意が必要です。

二段階認証の導入方法

それでは、実際に二段階認証を自社に導入する際にはどのようにすればよいのでしょうか。二段階認証にはさまざまな方法がありますが、もっとも一般的なのはSMSを利用したタイプの二段階認証です。他の認証方法であるUSBなどの物理デバイスを利用した二段階認証や生体認証による二段階認証の場合、専用のデバイスやリーダーを用意する必要があります。しかし、SMSを利用した二段階認証であればユーザーが所有している携帯電話を利用するため、相手に何かを準備してもらう必要はありません。

SMSによる二段階認証を導入する場合、まずはSMS配信サービスを選ぶことから始めます。気をつけるべきポイントは、SMS配信というものは必ずしも二段階認証だけのものではない、ということです。二段階認証を行う目的でSMS配信を導入するのであれば、SMSを必要なタイミングで即時に特定の携帯電話に送信できる必要があります。そのためには、自社システムとSMS配信サービスのシステムがAPI経由で連携していなければなりません。二段階認証に適したサービスを提供しているSMS配信サービスを選びましょう。

SMS認証をワンコールで完結できる専用API

配信サービスを選んだら、次は自社システムとの連携機能の実装が必要です。例えば、メディアSMSではSMS認証の様々なサービスをパッケージ化しAPIとして提供しています。こちらのAPIでは、ワンタイムパスワードの発行からSMSの配信やIVR連携まで、インターネット上での認証に必要な工程をワンストップで行えます。お客様側で開発が必要な部分はパスワード入力を含む一連の認証画面と照合部分のみなので、大幅に開発工数を削減できるのが特徴です。

万が一SMSが届かなかった場合でも、そのままIVR認証へ誘導。ユーザーに対して認証用の電話を発信したり、ユーザーが指定された番号へ電話をかけることで認証を行えます。詳しい仕様についてはこちらのフォームからお問い合わせください。自社サービスと連携する部分の開発・実装については、契約したSMS配信サービスの担当者と相談しながら進める必要があります。SMS配信サービスの中には無料トライアル期間を設けているところも多くあるため、連携テストに活用するのも1つの方法です。

最後に、実装が完了したらテストを行います。自社サイトの情報と連携してSMSが送信できているか、確認コードは一定時間で有効・無効になるか、送信の遅延はないか、確認コードが記載されたSMSの文面は分かりやすいか、といったことを確認しましょう。テストで問題がなければ二段階認証として運用が開始できます。