7payで話題になった「二段階認証」「二要素認証」とは？

2019年7月、「7pay」の不正利用をきっかけに、二段階認証・二要素認証が話題になりました。株式会社セブン＆アイ・ホールディングス傘下の株式会社セブン・ペイが開始したバーコード決済サービス7payは、不正利用の被害に遭い、サービス終了に追い込まれています。IDとパスワードで認証した後に、次の画面でさらに別のパスワードを入力してログインできるような仕組みを二段階認証と呼びますが、7payでは、このような安全性を高め、不正利用を防ぐ二段階認証や二要素認証などの仕組みが実装されていなかった点が指摘されました。

話題を集めた二段階認証・二要素認証ですが、その定義について疑問を抱く人も少なくありません。次章では、いくつかある認証の手段、そして、二段階認証、および似た用語である二要素認証について解説します。

二段階認証と二要素認証の違い

まず、認証に用いられる要素には何があるかをみてみましょう。大きく分けて「記憶」「所持」「バイオメトリクス（生体）」の3種類が挙げられます。

【記憶】あなたが知っているもの

本人のみが知っている情報であり、パスワード、パスフレーズ、PIN（Personal Identification Number）が該当します。これらの記憶情報は、他人に知られないようにする必要があります。生年月日、電話番号、1111や1234などのシンプルな数字を記憶情報として用いることや、記憶情報が記載された紙を他人の目に触れる場所に放置するといった行為は避けなければいけません。

【所持】あなたが持っているもの

本人のみが所持している物であり、スマートフォン、ICカード、スマートカード、ワンタイムパスワードのトークンなどが挙げられます。所持要素には、紛失や盗難の危険性があります。そのため、認証に用いる所持要素を他人に貸したり、公共の場に放置したりしてはいけません。以前は、ワンタイムパスワードを発行するハードウェアトークンがいくつかの金融機関で採用されていましたが、近年は、金融機関もスマートフォンの利用がトレンドとなっています。

一例をあげてみましょう。まずスマートフォンアプリでワンタイムパスワードを発行します。それをスマートフォンブラウザやパソコンのWebサイト取引画面に入力することで、認証が行われます。この例では、スマートフォンが所持要素として扱われているというわけです。

【バイオメトリクス（生体）】あなた自身

本人の生体に基づくデータであり、本人固有の指紋・静脈・虹彩・顔の形等を用います。本人に結びついたデータによる認証方式なので、記憶忘れや紛失といった問題を回避できます。しかし、成長や加齢、生活の変化などにより変化すると正しく認証されない可能性があります。また、マスクをしていると顔認証されないこともあります。

二段階認証と二要素認証の違い

二段階認証とは、要素の多寡に関わらず、2度のチェックによって利用者の認証を行う手段を指します。例えば、通常のID及びパスワードを入力し、1度目の認証通過後に、「秘密の質問」に対する回答を入力するようなシーンを考えてみましょう。認証はどちらも「記憶」の要素を使用していますが、2度のチェックを行っているので、二段階認証となります。

一方、二要素認証とは、上記の3種類のうち、異なる2つの要素を組み合わせた手法です。例えば、ID及びパスワードを入力した後に、スマートフォンで受け取った認証コードを入力するという手順であれば、スマートフォンは個人の所有物になるため、「記憶+所持」という二要素認証になります。

有効なのは二要素認証

近年は、パスワードが類推されたり、他システムから流出したパスワードが攻撃に利用されたりしており、記憶要素のみではアカウント情報を守り切れないリスクが高くなってきました。その際に、二要素認証を採用すれば、たとえパスワードが他者に知られたとしても、認証を突破される可能性を低減できます。特に、スマートフォンを使った認証や生体認証は普及が進んできたので、利便性を損なわずに安全性を高められるでしょう。