パスワードだけでは守れない?セキュリティ事故を防ぐ「多要素認証」とは

パスワードだけでは守れない?セキュリティ事故を防ぐ「多要素認証」とは
セキュリティ

現在、情報の流出・不正利用などを目的とした不正アクセスが、企業を取り巻くさまざまなシーンで確認されています。こうしたセキュリティ事故は、なぜ発生するのでしょうか。また、これらを未然に防止する方法はあるのでしょうか。

今回は、セキュリティ対策のソリューションとして注目される「多要素認証」をピックアップし、新たな認証方式の種類や仕組み、セキュアな環境を構築するノウハウなどについて分かりやすく解説していきます。

セキュリティ事故(不正アクセス)の発生状況・要因について

昨今、Webサイトの改ざんや、インターネットバンキングの不正送金などを目的とした不正アクセス行為の認知件数が増加しています。国家公安委員会などが公表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、2017年に1,202件だった不正アクセスの認知件数は2018年に1,486件、2019年に2,960件と、過去3年間で急速に増加しているとのことです。

この内、不正アクセスを受けた対象(ネットワークに接続されたコンピューターのアクセス管理者)別に数字を見ると、2019年では一般企業が2,855件と最も多く、約96%を占めました。不正アクセスの目的は、「インターネットバンキングでの不正送金など」が1,808件、「インターネットショッピングでの不正購入」が376件、そして「メールの盗み見などの情報の不正入手」が329件と続いており、この3つだけで約85%を占めたということです。
また同年では、ログインIDやパスワードといった識別符号の窃用に関する不正アクセスの手口(検挙件数)は、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が最多で310件。「他人から入手したもの」が182件、「識別符号を知り得る立場にあった元従業員や知人らによるもの」が161件と続きました。
このように、不正アクセスを未然に防ぐ方法として、IDやパスワードといった識別符号の管理強化などが一層企業に求められています。しかし、これだけでサイバー犯罪を完全に防止することはできません。これは、識別符号の管理強化に加え、利用権者を認証するシステムそのものを見直す必要があるからです。

多様化する認証方式の種類

ICTの発展によって、デバイスやアカウントなどに関する認証方式の種類が多様化しています。これらの認証方式は、「知識情報による認証方式」「所持情報による認証方式」「生体情報による認証方式」の3つに分類され、知識・所持・生体情報は“認証の3要素”と呼ばれます。では、さまざまな特徴を持つこれらの認証方式について詳しく解説していきましょう。

知識情報による認証方式

ここでいう知識情報とは、“ユーザーが知っている”情報のこと。つまり、IDやパスワード、秘密の質問、PINコード(暗証番号)といった本人にしか分からない情報を活用し、当人かどうかを確認する手段です。安価で、ユーザーにとっても使い勝手がよいことから、多くのシステムやアカウント認証などに用いられています。

しかし、この認証方式には弱点があります。同じ知識情報をさまざまな認証シーンで使い回すユーザーが多いため、不正に情報を取得された場合、複数のアカウントやシステムに不正ログインされる可能性が高くなるのです。実際、過去に行われた「個人・企業のパスワード管理に関する意識調査」では、会員制のWebサービスなどを利用する際、ユーザーが記憶可能な2~3個のパスワードを使い回している実態が判明しています。

不正に入手したIDやパスワードを利用し、他の複数サービスに不正ログインするこの手法は「パスワードリスト攻撃」と呼ばれ、現在企業へのサイバー攻撃を行う手段の一つとして多く用いられているといいます。

所持情報による認証方式

所持情報による認証方式とは、スマートフォンやICカード、ワンタイムパスワード、USBトークンなど、その人が持っているものを活用して当人かどうかを認証する仕組みです。スマホを用いた認証方法にはアプリ・SMS認証が、ICカードを用いた方法にはSuicaなど交通関連の認証が挙げられます。また、ICチップや磁気の仕組みを用いたキャッシュカードやクレジットカードの認証も、一般的に所持情報による認証方式に分類されています。

ICカードや磁気カードなどの物理的な認証方式は、便利な半面、紛失や盗難によって他者に不正利用されるリスクが伴います。この内、磁気カードは、スキミングによる情報の不正取得といった危険性をもはらんでいます。

生体情報による認証方式

生体認証方式とは、顔や指紋など固有の身体的情報を活用し、本人かどうかを確認する認証方法です。多くのスマホのセキュリティシステムに組み込まれているため、ある意味最も身近な認証方式かもしれません。また昨今は、網膜や静脈、虹彩、声紋といった生体情報も、さまざまなセキュリティシステムに活用され始めています。

生体認証は、固有の身体的情報を用いるため認証の信頼性が極めて高く、パスワードなど知識情報のように記憶する必要がありません。しかし、情報を読取る認証システムの精度によっては、誤認識が一定程度発生するリスクもあるということです。

注目される「多要素認証」とは

多要素認証とは、認証3要素(知識情報・所持情報・生体情報)の中から2つ以上の要素を組み合わせ、システムやサービス、デバイスなどの利用権限を確認する認証方法です。

多要素認証の身近な例は、キャッシュカード(所持情報)とPINコード(知識情報)といった2つの認証要素が用いられているATMの本人確認。また、クラウドシステムの利用などで耳にする機会が多い「2要素認証」や「2段階認証」も、この多要素認証に含まれます。

昨今は、認証の信頼性が高い生体情報と、持ち運びがしやすい所持情報を組み合わせた次世代型の多要素認証システムが登場し、さまざまな企業や機関によって注目されています。

多要素認証の導入でセキュアな環境を構築

最新のセキュリティ事情に関する理解は深まりましたでしょうか。不正アクセスや情報の不正利用は、デバイスやシステムのユーザーだけではなく、それを所持・管理する企業などにも大きな悪影響をもたらします。パスワードをはじめとした知識情報だけではなく、所持・生体情報を組み合わせた多要素認証。これからセキュアな環境を構築するに当たっては、こうした複数要素を組み合わせた最新のソリューションがとても重要です。

シーイーシーのPCセキュリティソリューション「SmartSESAME PCログオン」

シーイーシーでは、PCセキュリティを強化する次世代セキュリティソリューション「SmartSESAME PCログオン」を提供。所持認証と、指紋や静脈など最新の生体認証の仕組みを組み合わせた、最新の多要素認証システムを取り入れることが可能です。サーバーの新たな構築なども不要なため、低コストで多要素認証を導入することができます。

同サービスは、岡山県倉敷市役所や、京都府庁といった行政機関に加え、証券や物流など、さまざまな企業が導入。セキュアなPC環境を構築されています。

関連サービス情報

Cyber NEXT ロゴICカードや生体認証でPCセキュリティを強化「SmartSESAME PCログオン

お問い合わせ

関連記事一覧