企業として、情報資産を守るためにセキュリティ強化の一環として二要素認証を導入したいが、「そもそも二要素認証とは何なのか」「どのように導入すればよいのか」わからない、という担当者もいるのではないでしょうか。そこで、本記事では、二要素認証とは何かを解説するとともに、具体例やセキュリティを強化する際のポイントについても解説します。

なりすましの代表的な手口について詳細を知りたい方はこちらの記事もご覧ください。
【事例あり】なりすましの代表的な手口とは？具体的な種類から対策まで徹底解説

二要素認証（2FA）とは

二要素認証（2FA）とは？二段階認証との違いや認証方法の具体例を紹介

二要素認証（2FA）とは、多要素認証と呼ばれることもあり、性質の異なる2つ以上の要素を組み合わせることでセキュリティの強化を図る認証方式です。IDとパスワード以外に、本人しか登録できない情報を利用することで強固なセキュリティを実現し、大切な情報を不正アクセスやウイルスなどの脅威から保護できます。本項では、二要素認証について解説します。

二要素認証の導入が進むようになった背景

従来のIDとパスワードの組み合わせによる認証方式においては、パスワードの定期的な変更や、複雑なパスワード設定や利用可能な文字の組み合わせの指定などの対応が推奨されてきました。しかし、IDとパスワードはどちらも「知識要素」に含まれるため、1つの認証要素ではセキュリティの強固さに限界があり、不正アクセスされる可能性が高くなります。

そこで、パスワード以外の情報を使用した認証方式として、二要素認証が活用されるようになりました。代表的な導入事例としては銀行のATMやクレジットカードでの決済などで、銀行ATMで現金を引き出す際には、キャッシュカードを所有していることと暗証番号を知っている必要があります。クレジットカードでの決済時もカードを所有していることと、暗証番号を知っていることが必要です。

二要素認証と二段階認証の違い

二要素認証は知識要素、所有要素、生体要素の3つの異なる認証要素のなかから、2つの要素を組み合わせる認証方式です。二要素認証と混同されがちな言葉として、二段階認証があります。二段階認証は単純に認証を2回行う方法のため、認証に使用する要素の数に定めはありません。

二要素認証の具体例は、銀行ATMでのキャッシュカードと暗証番号を用いた認証や、クレジットカードと暗証番号を用いた認証で、カードの所有と暗証番号を知っているという2つの要素を用いて認証します。

二段階認証の具体例は、IDとパスワードの入力後に、SMSやメールで受信した認証コードを入力する方法や、ペットの名前や通っていた小学校名など、あらかじめ秘密の質問を設定しておき入力する方法などです。複数の要素を組み合わせる必要はありませんが、IDとパスワードのみを使用した認証と比べると、手順は煩雑になるものの、セキュリティ強度は高くなります。

電話番号で本人確認を行うSMS認証について詳細を知りたい方はこちらの記事もご覧ください。
電話番号で本人確認を行う「SMS認証」とは？仕組みを解説

eKYCの費用について知りたい方はeKYC料金表をダウンロード

eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード

二要素認証に使用する3つの要素

二要素認証は知識要素、所持要素、生体要素という3つの異なる認証要素のなかから、2つの要素を組み合わせてセキュリティの強度を高める認証方式です。では、これら3つの認証要素はどのようなものなのでしょうか。本項では、二要素認証に使用される認証要素についてそれぞれ解説します。

1.知識要素

知識要素は、自分だけが知っている情報を認証時に使用する仕組みです。自分で設定したパスワードやあらかじめ設定する秘密の質問が代表例ですが、Android製のスマートフォンなどで採用されているパターン認証も知識要素の一つです。

導入が比較的容易で、最も普及している認証要素ですが、情報が予測しやすい組み合わせであったり、メモなどに記載したりすることで誰でも知りえる情報になってしまい、他社に知られてしまった場合にはセキュリティ強度が低下します。また、運営側の管理がずさんだと、個人情報やパスワードが漏洩する事件も発生するため、昨今ではパスワードなど知識要素のみを使用した認証では安全性を確保できなくなっています。

2.所持要素

所持要素は、自分だけが持っているものを認証時に使用する仕組みです。具体的には社員証などのICカード、スマートフォン、キャッシュカードやトークンなどが該当します。知識要素のみよりもセキュリティ強度は高くなりますが、他人と共有しないことが前提となり、紛失や盗難に遭ってしまうとセキュリティ強度は低下してしまいます。

近年、所持要素として注目されているのはユーザーが肌身離さず持ち歩くスマートフォンで、SMSなどでパスコードを送信する方法も所持要素を用いた認証方法で、今後も普及する可能性が高いでしょう。

3.生体要素

生体要素は、ユーザー固有の身体的な特徴を認証時に使用する仕組みです。具体的には指紋、顔、静脈などが該当し、虹彩認証によるマンションのエントランス開放や、顔認証によるスマートフォンのロック解除などに利用されています。

パスワードを覚えたり入力したりする面倒がなくセキュリティ強度も高まる反面、映画のようにロウのような素材で指紋認証を突破するなど、生体情報をコピーされ不正アクセスされるリスクもあります。

以前は読み取る機器が高価であったため、高い安全性が求められる場面のみに導入されていました。また、身体的特徴というプライベート性の高い情報を利用することに、一定数のユーザーが拒否反応を示すこともありました。ですが、最近はスマートフォンやパソコンに指紋認証や顔認証を行う機器が標準で搭載されるようになり、急速に普及しています。

顔認証システムについて詳細を知りたい方はこちらの記事もご覧ください。
顔認証システムとは？仕組みやメリット・活用シーンを解説

eKYCの費用について知りたい方はeKYC料金表をダウンロード

eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード

二要素認証の認証方法の具体例

二要素認証における認証の三要素について解説しましたが、実際に二要素認証を活用した具体例としてはどのようなものがあるのでしょうか。本項では、二要素認証を取り入れた認証方法の具体例として、下記の3つを解説します。

セキュリティトークン（ハードウェアトークン）

整脈や指紋など生体情報を用いた認証

携帯電話・スマホを利用した認証

セキュリティトークン（ハードウェアトークン）

トークンを用いた認証は3つの認証要素のうち、所持要素を利用した認証方法です。ワンタイムパスワードを発行する端末や法則性のない文字列を表にしたマトリクス表を使用するため、セキュリティトークンやハードウェアトークンといいます。知識要素であるID・パスワードと組み合わせることで、セキュリティの向上が図れます。

トークンを用いた認証は、カードやハードウェアを所有していなければ認証できないことがメリットです。しかし、サービス登録時にセキュリティトークンや乱数表を発行する必要があり、ユーザーの手元に届くまで時間を要してしまいます。また、紛失や盗難になると不正アクセスにつながる可能性がある点にも注意が必要です。

近年では二段階認証アプリというものがあり、スマートフォンアプリとして配布されるセキュリティトークンとして、ワンタイムパスワードの発行や顔認証、指紋認証を行います。PCからログインするときに認証アプリを併用することで簡単に二段階認証を実現可能です。

静脈や指紋など生体情報を用いた認証

静脈や指紋、顔など生体情報を用いた認証は3つの認証要素のうち、生体要素を用いた認証方法です。駅構内や街中に設置されているセキュリティロッカーや、ホテルの貴重品ボックスなどで導入されています。セキュリティロッカーでは、ICカードやパスワードによるログイン後に、指先で認証装置に触れることで認証可能です。

生体要素を用いた認証のメリットは、本人の生体情報を利用するため特別な道具や機器が不要で、紛失することがなく、複製のリスクも小さいことがあげられます。一方、シリコンやゼラチンでの指紋複製や、写真を利用しての顔認証突破など、不正アクセスを完全に防ぐことはできません。また、生体情報の登録に時間を要するデメリットもあります。

携帯電話・スマホを利用した認証

携帯電話やスマートフォンを利用した認証は3つの認証要素のうち、所持要素を用いたもので、知識要素であるID・パスワードによる認証後に利用されることが多い認証方法です。発番認証とSMS認証の2つがあり、発番認証では、利用者が登録している電話番号から認証システムへ電話をかけ、登録した電話番号と発信番号が一致しているかを照合します。

SMS認証は携帯電話のSMSに送信されたパスワードをログイン画面に入力する認証方法で、利用者情報を登録する際に携帯電話番号の入力を必須とすることで、すでに登録されている電話番号を利用できなくしたり、重複登録を防いだりする効果もあります。

1人1台携帯電話やスマートフォンを持つことが当たり前となった現代において、手軽に導入できることがメリットですが、通信料がかかったり、電波状況によっては認証エラーが起こったりすることがデメリットです。また、スマートフォンの紛失や盗難時にも不正アクセスが可能になるリスクがあるため、注意が必要です。

eKYCの費用について知りたい方はeKYC料金表をダウンロード

eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード

二要素認証などでセキュリティを強化するポイント

二要素認証を用いた認証方法の具体例について解説しましたが、二要素認証を導入してセキュリティを強化する際には注意すべきポイントがいくつかあります。本項では、二要素認証などでセキュリティを強化するポイントとして下記の3点を解説します。

複数の認証ツールを活用する

推測されにくいパスワードを設定する

ユーザーや社員のセキュリティ意識を高める

複数の認証ツールを活用する

スマートフォンの普及により、近年では多様な認証方式を簡単に導入できるようになりました。しかし、スマートフォンを利用する認証方式が多く採用されたことで、情報が一箇所に集約されやすい状況になっているのも事実です。

1つのデバイスに認証情報が集中すると、紛失・盗難時の情報漏洩リスクが高まるため、セキュリティリスクを分散するためにも、認証に使用するデバイスはパソコンとスマートフォンで分けるようにしましょう。

推測されにくいパスワードを設定する

IDとパスワードを使用する認証では、入力時の手間を省くためや、大量のパスワードを覚えることが困難なことから、簡単なパスワードが設定されることがあります。簡単なパスワードは第三者からも推測しやすいため、簡単なパスワードを使い続けることで認証を突破されやすくなってしまいます。そのため、パスワードを設定する際は第三者から推測するのが困難な文字列を設定しましょう。

推測が困難なパスワードを作成する際は、アルファベット（大文字・小文字）、数字、記号などを組み合わせたり、桁数を増やしたり、誕生日や名前などユーザーにゆかりのある文字列を使用しないことがポイントです。

ユーザーのセキュリティ意識を高める

不正アクセスの原因が情報漏洩であるケースは多々発生していますが、情報を漏洩させているのはサービス側だけでなく、ユーザー側であるケースもあります。そのため、IDやパスワード、セキュリティトークン、乱数表などの認証に利用するものの管理を徹底するように促すなど、ユーザーへの啓蒙活動は重要です。

乱数表のような文字情報は、メモやカメラで撮影することで簡単に複製できるため、メモの紛失や、撮影画像をセキュリティレベルの低いストレージで管理することの危険性について注意喚起が必要です。認証に利用するものの管理を徹底するように啓蒙活動を行いましょう。

eKYCの費用について知りたい方はeKYC料金表をダウンロード

eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード

二要素認証で注意するポイント

二要素認証は有効なセキュリティ対策であり、多くのメリットがある認証方法であるといえますが、強固なセキュリティ対策となりうる一方で、運用時の注意点もあります。本項では、二要素認証を導入する際にサービス側が注意しなくてはならないポイントについて解説します。

二段階認証と比べて費用や手間がかかる場合がある

IDとパスワードのみの二段階認証などと比較すると、二要素認証を導入するためには、機器の導入や運用にコストが発生する場合があります。生体情報を取得したり、所持情報を使用したりするために、機器やカードが必要になるためです。生体要素に指紋認証を導入するのであれば、指紋を確認できる機器、ICカード認証の場合はカードとカードリーダーを導入する必要があります。

導入する二要素認証の方法により、新たに機材が必要になるのか、アプリケーションなどのランニングコストのみでよいのかが異なるため、企業規模や業務内容に応じて、導入コストとセキュリティの強化を比較することがおすすめです。

認証作業によってユーザーの手間が増える

二要素認証を導入することで、ユーザーの利便性が少なからず下がる可能性があります。認証時に複数の要素を利用するためには、認証時に都度手間が発生してしまうためです。

ユーザーの利便性低下は、認証作業中のサイトからの離脱や、利用率の低下、ひいては解約にもつながる可能性があります。端末を常に所持しているのであればワンタイムパスコード、ICカードの方が持ち運びしやすいのであればICカードを活用するといったように、利用用途や条件に応じて無理のない範囲で二要素認証を取り入れましょう。

二要素認証でもサイバー攻撃を完全には防げない

近年、多くのサービスで二要素認証が導入されており、標準的なセキュリティレベルは従来のサービスと比較しても大きく向上しました。しかし、複数の認証要素を組み合わせて強固な認証を実現できるのは、それぞれの認証要素でセキュリティレベルを高められるように工夫されていることが前提となっています。

ユーザーの就寝中にスマートフォンの指紋認証が解除されたり、高解像度の写真に映り込んだ指紋を悪用されたりするリスクもあるため、二要素認証を導入したことでサイバー攻撃を完全に防げるわけではありません。そのため、二要素認証を導入したから大丈夫と過大評価はせず、継続してセキュリティレベルを向上させるための取り組みを継続することが重要です。

eKYCの費用について知りたい方はeKYC料金表をダウンロード

eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード

二要素認証による本人確認ならネクスウェイ本人確認サービス

二要素認証の導入を検討しているのなら、ネクスウェイ本人確認サービスはいかがでしょうか。ネクスウェイではオンライン本人確認とSMS認証サービス「SMSLINK」をセットで提供することができ、eKYCと二要素認証を掛け合わせることで、安全性と利便性を両立させた本人確認の仕組みづくりを支援しています。

実際に、ネクスウェイ本人確認サービスと二要素認証に活用する「SMSLINK」を導入することで、口座解説を効率化し、新規事業の本人確認体制をスピーディに構築した事例もあります。これから本人確認や二要素認証の導入を検討されている方は不正出金防止対策事例をご確認ください。

eKYC×本人確認BPO×SMS二要素認証で口座開設を効率化！新規事業の本人確認体制をスピーディに構築株式会社coinbook

また、必要十分な確認対象に絞ることでスピーディーな本人確認を実現した「オンライン本人確認サービスLite」ならば、ユーザーの離脱を防げるためおすすめです。SMSを利用した本人確認はコストパフォーマンスに優れ、確認項目を絞っているのでユーザーの負担も少なく、ユーザーの離脱防止との両立を実現しながら本人確認が可能です。

→ネクスウェイ本人確認サービスLiteの資料を見てみる

eKYCについてさらに詳しく知りたい方はこちらの記事もご覧ください。
eKYCとは？オンライン本人確認とKYCの違いや導入するメリットを解説

KYCについてさらに詳しく知りたい方はこちらの記事もご覧ください。
KYCとは？金融機関のみにとどまらない本人確認の重要性

まとめ

二要素認証は知識要素、所有要素、生体要素という3つの異なる認証要素のうち、2つ組み合わせることでセキュリティの強度を高める認証方式です。導入することで、ユーザーの手間が増えるなどのデメリットもありますが、強固なセキュリティを実現できるなど多くのメリットもあります。企業規模や業務内容に応じて、導入コストとセキュリティの強化を比較しながら導入しましょう。

二要素認証の導入を検討している場合は、ネクスウェイが「ネクスウェイ本人確認サービス」とSMS認証サービス「SMSLINK」のセット導入支援を行っているので、検討してみてはいかがでしょうか。eKYCと二要素認証を掛け合わせることで、安全性と利便性を両立させながら不正出金対策などが可能です。
また、法令で本人確認を義務化されていない事業者様向けに設計された「オンライン本人確認サービスLite」では、SMS認証と書類アップロードの2つを組み合わせた確認方法で、審査は自動で完了します。確認項目を絞っているためユーザーの負担も少なく、ユーザーの離脱防止にもつながります。ユーザーの利便性とコストパフォーマンスを両立させたい場合におすすめです。

→ネクスウェイ本人確認サービスLiteの資料を見てみる

eKYCの費用について知りたい方はeKYC料金表をダウンロード

eKYC含むKYCの事例を知りたい方はKYC導入事例をダウンロード

二要素認証（2FA）とは？二段階認証との違いや認証方法の具体例を紹介