多要素認証は面倒だけれど安全

IDとパスワードだけでは安全性の確保が不十分というサービスでは、もう一段の認証を設ける場合があります。

こういった認証手段を二要素認証や多要素認証と言います。

今回はこの多要素認証についてお話をします。


1. 二要素認証と多要素認証

用語として、二要素認証と多要素認証というコトバがあります。

2FAやMFAという略語はこれを指しています。
2FAは二要素認証のことで、2 Factor Authentication の略、FMAは多要素認証のことで、Multi Factor Authentication の略です。

どちらも目的は同じで、不正なログインによる利用を防ぐことにあります。

ここでいう要素というのは以下のいずれかを指します。
　・本人だけが持つもの（所有）
　・本人だけが知るもの（知識）
　・本人だけに属するもの（生体情報などの属性）

このうち特に二つだけを用いるものを二要素認証、二つ以上を用いるものを多要素認証と言います。（以降では、両者をまとめて多要素認証と書きます。）

不正ログインを目論むにしても、ログインIDとパスワードはともかく、指紋や本人所有のスマホやカード類までは手元にないだろう、というわけです。

多要素認証の例をいくつか書いておきます。
・オンラインバンキングサービス（知識＋所有）
　知識：ID/パスワード
　所有：暗唱番号を受け取れるスマホの所有
・銀行での現金の引き出し（知識＋所有）
　知識：暗証番号
　所有：キャッシュカード
・入室管理（知識＋属性）
　知識：暗証番号
　属性：指紋や虹彩（瞳の中の模様）

余談
　上記の他に二重認証という用語がありますが、これは少々違うものを指します。
　二重認証と呼ぶ場合、必ずしも二つ以上の要素を利用するとは限りません。
　例えば、以下は二重認証ですが、二要素認証ではありません。
　・ID＋パスワード＋秘密の質問によるログイン（いずれも知識を確認している）
　・IDカード＋入室専用カードによる入室（いずれも所有を確認している）


2. 多要素認証の目的

現状クレジットカードなどの不正利用は年々増加しています。

利用者がその被害を直接こうむるわけでありませんが、カード会社にとって保険金などの不正利用対策費要が増えれば、それだけ利用料を高くせざるを得ません。
利用料の増額分は結局カード利用者の負担になります。

これを避けるには、不正利用の削減が一番なのは明解です。

だから、多要素認証が脚光を浴びるわけです。

サービス利用の敷居を高くすれば、安全なサービス提供が実現できます。
サービスの不正利用が減れば、結局利用者にとってもメリットです。

多要素認証が増えればサービス利用は面倒になりますが、社会全体の負担を減らすという視点で考えますと、やむを得ないコストであり受け入れる方が幸せなコストです。

「多要素認証しているサービスに協力した方がオトクですよね」ということです。


3. 多要素認証の方式

さて、多要素認証というのはいろいろな方式があります。

ここでは、いくつか代表的なものを紹介します。

一般消費者向けでよく使われるのは、ログインIDとパスワード入力後に、ショートメッセージがケイタイに届き、その値を入力する方式です。
これは、ID/パスワードの知識に加えて、ケイタイ電話器の所有を確認しています。
つまり、知識＋所有の多要素認証です。

バリエーションとして、ショートメッセージではなくメールが届くもの、ワンタイムパスワード用アプリ（Authenticator（オーセンティケータ））での番号を入力するものなどもあります。

いずれも、メールを受け取れるアカウントやアプリを所有していることを確認する形になります。

なお、AuthenticatorというアプリはGoogleやMicrosoftなど複数の会社が提供していますが、いずれも同じ方式（Time-based One Time Password）で計算していますので、どれでも同じ値が表示されます。

この方式はお金がかからないので、一般消費者向けのサービスの多要素認証ではよく使われています。

次に、多少のお金をかけても安全性を守りたい場合の手法です。

オンラインバンキングなどでは、セキュリティトークンやドングルと呼ばれる機器を利用するケースがあります。

セキュリティトークンというのは、数ケタの数字を表示できる液晶パネルとボタンが付いた小さな機器で、USBメモリくらいの大きさです。

ボタンを押すと液晶パネルにパスコードが表示されるようになっていて、その数字をログイン時に入力します。
この数字は計算で求めるのですが、トークン側とログイン処理をする機器（サーバなど）側でそれぞれに同じ計算をし、両者が同じ結果なら正しいとみなしてログインを許可する仕組みです。

セキュリティトークンはインターネット上のwebサイトよりも、入室管理などに利用されることが多いようです。


4. 生体認証による多要素認証

映画などでよく使われますが、入室管理などに多要素認証を利用することもあります。

IDを確認した上で、指紋、指の静脈、虹彩といった生体情報を用いるものです。

この生体情報は究極の個人情報として一時はもてはやされたのですが、決して夢の技術ではありません。これはこれでいろいろと課題が多い方式です。

例えば、指紋については、指先をケガすると、認証が通りません。
また、指紋データが流出してしまうと、その指紋の所有者は二度と指紋認証が使えません。（パスワードは変更できても指紋は変更できない）

実際、銀行などでは2000年代、2010年代にATMでの指紋や静脈認証を積極的に進めていましたが、最近では各行で新規受付を中止しています。

これはキャッシュカードのICカード化によって偽造が防げるようになったためです。
ICカードについてご興味のある方は以下のバックナンバーをご覧ください。

　No317 ICカードはなんで"IC"なのか？（2023年7月配信）
　https://note.com/egao_it/n/n4d15cc070b32

いくつかの課題はあるものの、生体認証そのものは今も利用されています。

厳格な入室管理を必要とする場所などですね。
これは認証をする人数が少なく、相応のコストをかけてでも守るべき情報があるからです。

こういったシステムは通常オフライン（インターネットなどにつながっていない）システムとし、外部からの侵入ができないようにします。

一方で、インターネット上のWebサービスで生体認証を用いるサービスはほとんど存在していません。


5. 生体情報でのインターネットログインサービスはない

上で、「ほとんど存在しません」と書きましたが、「いやいや、ドコモはログインに生体認証使ってるじゃないか」といういう方がおられるかもしれません。

例えばドコモには生体認証の説明ページがあります。
https://www.docomo.ne.jp/service/bio/

引用します。
「生体情報を利用すれば、パスワード入力することなく、dアカウントへのログインを行うことができます。（パスキー認証）」

これを見れば、生体認証でログインすると思うのは当然です。

これ、ものすごくありがちな誤解なんです。
カッコ書きの「パスキー認証」がそのキーワードになります。

以下はその説明です。

スマホで、パスキー設定を行うとパスキーと呼ばれる秘密情報を作成します。
この秘密情報は普通の方法ではアクセスできない場所に保管され、例え悪意のあるアプリであっても盗むことができません。
ですが、誰も利用できないのでは意味がないので、利用する際には「本人がパスキーを使いたいんだ」と宣言してもらう必要があります。
その宣言行為として、指紋などの生体認証を用いるのです。

「今からパスキーを使ってログインをするんだ」と思った時に利用者が指紋認証をすれば、パスキーの利用が許可されたことになり、アプリはパスキーを使ってログイン手続きが行えます。

つまり、指紋認証は本人がログインしたいという意思確認のための手続きで、ログイン時に生体認証をサーバに送っているわけではないのです。

さて、再引用します。
「生体情報を利用すれば、パスワード入力することなく、dアカウントへのログインを行うことができます。（パスキー認証）」

「パスキー認証」はドコモ側の言い訳（ウソは書いてないヨ）でしょうが、これで上記の事情を理解しろというのは無理があるよなぁ、とは思います。

パスキーについてはしばらく前に詳しく書きましたので、ご興味のある方はどうぞ。
　No310　パスキーはパスワードを置き換えるのか？
　https://note.com/egao_it/n/ndbaff037d2da


6. まとめ

IDとパスワードによる保護だけでは情報を守れないようになりつつあります。

その保護方法として、二要素認証（2FA）や多要素認証（MFA）といった複数の要素（知識＋所持）を用いた認証方法が登場してきています。

ID/パスワードに加えて、スマホに送られたワンタイムパスワードなどを入力する方式が多いのですが、これが決定打ということにはなっておらず、複数の方式が乱立しているのが現状です。

この多要素認証は身を守るためにはかなり有効な手法です。
確かにログイン時の手間が増える点は面倒ですが、多要素認証に対応しているサービスでは是非それをご利用いただきたいと考えています。

なお、生体認証については、一時ほどもてはやされなくなりつつあります。近年では銀行ATMなども積極的には進めなくなってきているようで、時代の変化を感じます。

逆にスマホなどでのパスキー利用時の指紋認証は除々にですが、拡がりを見せてきています。筆者はこのパスキー方式は（誤解しやすい弊害はあるものの）非常にスジの良い技術ですし、積極的にご利用いただいても安全です。

今回は、二要素認証と多要素認証について解説をしました。

次回もお楽しみに。

（本稿は 2024年1月に作成しました）