話題のニュース

2020年10月12日

2022年7月13日

2段階認証と2要素認証の違いとは?

セキュリティ対策として導入されている「2段階認証」と「2要素認証」とはどのようなものなのでしょうか。一見、同じように思われがちな2つの認証方法ですが実は大きな違いがあります。この記事では2つの認証方法の違いについて、説明します。



「2段階認証」と「2要素認証」の違いを知る

「2段階認証」と「2要素認証」はどのようなセキュリティの仕組みでしょうか。

2段階認証

2段階認証とは、「認証を2回行う仕組み」のことです。具体的な例を挙げると、まず「IDとパスワードを使ってのログイン」で1段階目の認証をします。その後、IDとパスワード以外の情報、例えば「秘密の質問」などを入力し、2段階目の認証を行います。これが2段階認証といわれる認証方法です。2段階目の認証に使用する情報はメールアドレスの場合や複数のパスワードの場合もあります。また、指紋や静脈などといった体の一部が使われることもあります。

2要素認証

これに対して2要素認証とは、「認証に使う情報が、2つの要素に分かれている認証の仕組み」のことです。認証の方式には具体的に以下の3つの要素があるのですが、これらの2つを組み合わせたものを言います。

1.知識要素
認証しようとする本人が記憶している情報で、パスワードや秘密の質問などがこれに該当します。

2.所持要素
記憶ではなく、本人が所持している端末などに送信した情報を使って認証するものです。スマートフォンへSMSやメールによって情報を送信するもの、スマートフォン向けの認証アプリを使ったもの、キーホルダー式の小型装置に一定時間で変化する数字を表示し、これを入力するものなどがあります。ワンタイムパスワードも所持要素にあたります。

3.生体要素
本人の体の一部を使って認証するもので、指紋や顔、虹彩認証(瞳のパターンを使用)や静脈認証などが生体要素に該当します。

例えばIDとパスワードの入力と、指紋認証を組み合わせれば、「知識要素」と「生体要素」という2要素を使って認証を行っています。これが2要素認証です。また、IDとパスワードに加え、スマートフォン向け認証アプリによって、コードやワンタイムパスワードを発行し認証する場合、知識要素と所持要素の組み合わせとなり、これも2要素認証となります。
なお、2つ以上の要素で認証するものは多要素認証と呼び、反対に1つの要素で認証するものは、単要素認証と呼ばれます。

セキュリティ向上には認証数ではなく要素数が重要

次に「2段階認証」と「2要素認証」をセキュリティの観点で見てみましょう。ポイントは要素数と認証数です。ここでは1段階認証も含め、どのような組み合わせが安全性の高いセキュリティなのか解説します。

1段階認証+単要素認証

まず「1段階認証」を見てみましょう。1段階認証は、要素は一つなので、単要素認証となります。この場合、メールアドレスとパスワード、IDとパスワードといった情報が第三者に漏れていたり、総当たり攻撃(PCなどで可能な組合せをすべて試すことで乗っ取ろうとする攻撃方法のこと)によりパスワードを探し当てられたりしてしまう、といったリスクがあり、安全性は低いと言えます。

2段階認証+単要素認証

2段階で認証を行いますが、要素が一つしかないパターンです。知識要素だけを使用した場合、IDとパスワードで認証後、秘密の質問の入力を行うなど、2回の認証を行うので1段階認証+単要素認証より安全に思われます。しかし、私たちはサービスの「秘密の質問」にありそうな内容、例えば「親の旧姓」「通っていた学校名」「ペットの名前」「好きな芸能人」などの情報をSNSに書き込んだり、日頃から周囲と話したりしていることはよくあることです。このように、秘密の質問が第三者に漏れていた場合や、総当たり攻撃で答えを探されるなどといったリスクは、1段階認証+単要素認証と変わらないため、安全性は低いと言えます。

1段階認証+2要素認証

IDとパスワード(知識要素)に加え、ワンタイムパスワードなどをアプリで発行し(所持要素)、2要素を同時に入力して(1段階)認証するものです。この場合、仮にIDとパスワードが第三者に渡っても、同時にスマートフォンが相手に渡っていなければ認証できません。

2段階認証+2要素認証

IDとパスワード(知識要素)で認証後、指紋認証(生体要素)で認証する場合は2段階認証+2要素認証です。もしIDとパスワードが第三者に渡っても、指紋での認証ができないため、不正な認証を防ぐことが可能です。

このように、認証においてセキュリティ向上を目指す場合、認証の段階数ではなく、認証の要素数を増やすことが重要です。特に知識要素だけを使った単要素認証は、パスワードなどといった情報が第三者に渡っただけで、悪意あるログインを簡単に許してしまいます。何段階の認証があっても結果としてリスクは高いままなのです。

インターネットバンキングやクラウドサービスなどを選ぶ場合、適切なセキュリティ対策が施されているか不安なときは、認証の「段階数」ではなく「2要素認証/多要素認証」であることを確認するとよいでしょう。なお、サービスの提供側が2要素認証を2段階認証と誤認、誤記している場合もありますから、実際にどのような認証を行うのか、事前に確認することも大切です。

2段階認証と2要素認証は全くの別物!セキュリティには多要素認証を

一見似ていると思われた2段階認証と2要素認証の違いについて解説しました。また、セキュリティ対策として行われる2段階認証でも、IDとパスワードに加え、秘密の質問などといった1つの要素の(単要素認証)では、セキュリティ対策としては不十分であることもご理解いただけたでしょうか。特にインターネットバンキングやクラウドサービスなどを選ぶ際は、そのサービスがセキュリティに対してきちんとした対策を取っているかを判断する方法のひとつとして、その認証方法が多要素認証であるかを確認するとよいでしょう。
電子契約のクラウドサービス「電子印鑑GMOサイン」は、様々なセキュリティ機能をオプションで追加することができます。クラウドサービスを選ぶ際の参考にしてみてください。

電子サイン・電子契約ならGMOサイン
電子サイン・電子契約ならGMOサイン

関連記事

200821-a-06

電子契約を学ぶ

電子署名やタイムスタンプの有効期限切れにどう備えるか

2020年8月20日

2022年7月13日

タイムスタンプ

電子署名

電子印鑑のセキュリティ

電子契約を学ぶ

電子印鑑は安全?セキュリティの観点で考える電子印鑑の課題

2020年8月7日

2022年7月14日

セキュリティ

電子印鑑

20200715-b-tmb-01

電子契約を学ぶ

電子契約で収入印紙がいらない理由とは?なぜ不要なの?国税庁の見解に基づき徹底解説!

2020年7月15日

2022年8月17日

収入印紙

電子契約

20200715-a-tmb-01

電子契約を学ぶ

電子契約のメリット・デメリット│導入時に発生し得る課題への対処法

2020年7月15日

2022年7月26日

契約書

電子契約

20200709-c-tmb-01

電子契約を学ぶ

e-文書法と電子帳簿保存法の基本|対象となる文書とメリット、注意点

2021年9月1日

2022年7月13日

e-文書法

電子帳簿保存法

電子文書

電子署名法第3条

話題のニュース

【宮内弁護士監修】立会人型(事業者署名型)の電子契約サービスにおける電子署名法第3条に関する政府見解について

2020年9月8日

2022年7月13日

電子署名

0041_img-ec

話題のニュース

法務省が取締役会議事録の電子作成・登記申請に利用可能なサービスとして「電子印鑑GMOサイン」を追加

2020年6月1日

2022年8月18日

電子サイン

電子署名

0025_img-ec

電子契約を学ぶ

電子サインと電子署名の違いとは?それぞれの役割や特徴、利用シーンを解説!

2020年7月28日

2022年8月25日

基本

電子サイン

電子署名

ハンコ脱出作戦 編集部

筆者

ハンコ脱出作戦 編集部

このライターの記事一覧を見る

電子サイン・電子契約ならGMOサイン
電子サイン・電子契約ならGMOサイン
  • 電子印鑑GMOサインが選ばれる理由
  • 電子契約とは
  • 脱印鑑ブログ 公式Twitter

公式SNS

電子印鑑GMOサインのサービス情報や電子契約に関わる様々な情報を配信!

電子サイン・電子契約ならGMOサイン

「ハンコ脱出作戦」とは?

日本の脱印鑑文化を応援するブログメディアです。
電子印鑑GMOサインのサービス情報や電子印鑑、電子契約の最新情報をお伝えしています。

電子契約サービスを検討中の方向けに、
役立つ資料を提供しています。

電子契約サービスの基礎知識や選び方、導入ステップなどを分かりやすく紹介しています。
無料でダウンロードいただけます。ぜひご活用ください。

資料請求

印鑑の完全廃止に関するグループの取り組みと関連リンク集

印鑑の完全廃止に関するグループの取り組みと関連リンク集