【解説】「2要素認証」と「2段階認証」── 何が違うのか
「2要素認証」と「2段階認証」。よく似た言葉ですが、両者には決定的な違いがあります。『マンガでわかるITパスポート』ではそれぞれを次のように定義しています。
「記憶」「所有物」「生体情報」の3つの要素のうち、異なる2つを使って本人を認証することを2要素認証といいます。
要素の性質を問わず、2度認証することを2段階認証といいます。つまり、同じ要素を使ってもよいということです。
ポイントは「異なる要素を組み合わせる」のか、「同じ要素を2回使ってもよい」のか、という点です。
たとえば同書では、「パスワードを入力後、続けて秘密の質問を入力する」例が紹介されています。これは2要素とも「記憶」を使っているため、2要素認証ではなく2段階認証となります。
2要素認証も身近な場面で活用されています。同書では、こんな具体例が挙げられています。
・ATMでお金を引き出すため、キャッシュカードを挿入し、暗証番号を入力した(所有物+記憶)
・IDとパスワードを入力したら、一度きりしか使えないワンタイムパスワードがSMSでスマートフォンに送られてきた(記憶+所有物)
いずれの例も異なる要素を組み合わせていることがわかります。「2回認証していれば2要素」と思い込んでいた方にとっては、認識のズレが生じやすいポイントです。
【解説】認証を支える3つのカテゴリ── 記憶・所有物・生体情報
2要素認証を理解するうえで欠かせないのが、認証で使われる3つのカテゴリです。同書は次のように整理しています。
| カテゴリ | 説明 | 例 |
|---|---|---|
| 記憶 | 本人のみが知っていること | ユーザID、パスワード、ジェスチャー、PINコードなど |
| 所有物 | 本人のみがもっているもの | ICカード、キャッシュカード、スマートフォンや携帯電話、ワンタイムパスワードトークンなど |
| 生体情報 | 本人の特徴 | 指紋、虹彩、網膜、顔、静脈、声紋、筆跡、キーストロークなど |
※『マンガでわかるITパスポート』をもとに編集部作成
このうち「生体情報」を使った認証は、バイオメトリクス認証とも呼ばれます。同書によれば、バイオメトリクス認証は身体的特徴(指紋・虹彩・顔など)に加え、行動的特徴(筆跡・キーストロークなど)も対象に含まれます。スマートフォンの指紋認証や顔認証として、すでに多くの方が日常的に利用しているはずです。
この3つのカテゴリのうち、異なる2つを組み合わせれば2要素認証、同じカテゴリを2回使えば2段階認証──こう整理すると、両者の違いを覚えやすくなります。
【解説】離席時・入退室時のセキュリティルール──「人の隙」を守る
ここまで見てきた認証は、いずれもシステムへのアクセスを守る仕組みです。しかし、情報セキュリティはシステム上の認証だけでは完結しません。人の動きに関わる「離席時や入退室時のルール」もまた、セキュリティを支えるうえで無視できないポイントです。
離席時の「クリアデスク」「クリアスクリーン」
席を外したわずかな時間に、机上の書類やPC画面から情報が漏れる──これを防ぐのがクリアデスクとクリアスクリーンです。
情報漏洩を防ぐため、席を離れるときに机の上の書類やパソコンを安全な場所に片付けることをクリアデスクといいます。
席を離れるときにログオフするなどして、パソコンの画面を見えなくし、操作もできない状態にすることをクリアスクリーンといいます。
「ちょっとそこまで」のつもりが、機密情報を露出させる隙になりかねません。日常業務で意識したい基本動作です。
入退室管理の「アンチパスバック」
入退室管理の現場で押さえておきたいのがアンチパスバックです。
アンチパスバックとは、共連れなどによる不正な入退室を防止するための方法で、利用者IDごとに入退室の時刻を記録することで、矛盾がある入退室行動を防ぎます。
「入室記録のない人が退室する」「同じIDで連続入室する」といった不自然な動きを検知し、共連れによる不正侵入を防ぐ仕組みです。
これらの概念はITパスポート試験の出題範囲としても知られています。資格対策としてだけでなく、日常の情報セキュリティを支える基本として、ビジネスパーソンであれば理解しておきたいところです。
「2要素認証」と「2段階認証」は、似ているようで決定的に違う仕組みです。両者の違いを正しく理解することで、日々の認証操作の意味が変わってきます。
「自社のシステムが導入しているのは、本当に2要素認証なのか?」「離席時のルールは守れているか?」──本稿を機に、身の回りのセキュリティ対策を改めて点検してみてはいかがでしょうか。
守るべきはIT資産ではなく事業プロセス – IPA・青山氏が語る「事業を止めない」セキュリティ
