2 要素認証の必要性

過去十数年間で、インターネットの普及とモバイル技術の進化により、個人も企業も、コミュニケーションとビジネスの進め方が全く変わりました。これらの変化は効率化と生産性の向上をもたらしましたが、同時に全く新しいセキュリティ問題を引き起こしており、人々と企業に広範囲な影響を与えています。
重要なデータには世界中のどこからでも、いつでもリモートでアクセスできなければならなくなりました。オンラインバンキングや電子商取引の普及もあり、本人であることを確認するための本人認証が必要になりました。

本人認証の手法

本人認証の手法は、「WHAT YOU KNOW」 、「WHAT YOU HAVE」 、「WHAT YOU ARE」の3つが基本とされています。

What you know 本人しか知りえない情報を提示することで、本人であることを確認 母親の旧姓、住んでいた地名など
What you have 本人しかもっていないものを提示することで、本人であることを確認 ICカード、トークン、ワンタイムパスワードなど
What you are 生体認証で物理的に本人であることを確認 指紋、声紋、虹彩など

パスワードの持つ脆弱性

Password

初期の、そして現在も主流として使われている本人認証はユーザーネームとパスワード (UNP: Username and Password) を使った認証で、これは「What you know」に相当します。しかし、かなり初期の段階でこの認証方式は十分な信頼性を得られないことは認識されていました。
「What you know」が本人認証として有効であり続けるためには、パスワードが盗み見されたり、ネットワーク上で盗聴されたり、あるいは個人に関する情報がプロファイリングされた結果、例えば、誕生日がいつで、通っていた小学校がどこでという風に本人がパスワードとして設定しそうな情報を収集された結果、推測されてしまったりすることがないということが大前提です。
残念ながら現実には、多くの場合、パスワードの安易な設定が原因で推測されてしまったり、キーロガータイプのスパイウェアにPCが感染することで本人が気づかないまま、パスワードが漏えいしていたりすることで被害が発生しています。そこでユーザーネームとパスワードの組み合わせだけでは不十分だとして、2つ以上の認証手段を併用すべきだとの考え方が出てきました。

2要素認証の誕生

Token

ここでいう2つ以上の認証手段とは、「What you know」「What you have」「What you are」のうち2つ以上を組み合わせるということです。パスワードに加えてもう一つの要素を使ったものが 2 要素認証 (2FA: Two Factor Authentication)、それ以上を使ったものが多要素認証 (Multi Factor Authentication) と呼ばれています。
「What you have」の代表的な手段としては、電子証明書や IC カードの提示、あるいはワンタイムパスワード (OTP:onetime password) を生成するデバイス (トークン) に表示された数列を入力させる方法などがあります。パスワードが推測されたり、盗聴されても物理的にICカードが盗難されたり、ワンタイムパスワード・トークンが同時に盗難されることがない限り本人になりすますことは困難です。これら物理的な装置は、紛失したり、盗まれた場合に本人が気づくので、すぐに無効にすることで被害の拡大が防止できるという利点があります。アナログな印象がぬぐえませんが電子証明書が盗まれても気づく人は少ないでしょうから、必ずしも先端技術がすべてに優越するとは限らないのです。

金融機関を中心に導入が進む 2 要素認証

2 要素認証はまず、金融機関によって採用されました。取引の安全性が非常に大きな問題となるオンラインバンキングでは、 UNP に頼ることはリスクが大きいと考えられたのです。オンラインバンキングの契約をして、キーホルダー型のハードウェアトークンが送られてきた経験をお持ちの方も多いでしょう。そもそも銀行で使われているキャッシュカードも「What you know」(暗証番号) と「What you have」(キャッシュカード) を組み合わせた 2 要素認証ということができます。
ちなみに盗聴リスクが皆無でないオンラインバンキングサービスでは、生体認証は不適切な認証手段ということが言えます。生体認証は究極の固定パスワード (変えることができない) なのです。固定パスワードの最大の欠点は、再利用を前提にしているがために一度漏えいすると、被害に本人や関係者が気づくまで何度も悪用されてしまうという点です。

ハードウェアトークンの持つ問題点

その後、オンラインバンキングのユーザーは順調に増加し、一方でビジネス上の要望やブロードバンドや3G ネットワークの普及により、自宅またはモバイルからのアクセスが指数関数的に増加しました。このような環境変化の中で、ハードウェアトークンを使う 2 要素認証はコストと運用負荷の点で問題が大きいと認識され始めました。個々のトークンにコストがかかること、それに加えて、トークンの配布や電池切れによる交換、不要になったトークンの回収などにかかるコストや管理負担が無視できなくなったのです。
このようにトークンを使った認証の限界が明らかになると、トークンを使わない認証 (トークンレス) を使った多要素認証が台頭し、より柔軟で安全なソリューションを、はるかに優れたコストパフォーマンスで提供できるようになりました。

--> 「トークンレスのメリット」へ

本件に関するホワイトペーパーも、あわせてご覧ください。