![OVO [オーヴォ]](https://d10tw3woq6mt3i.cloudfront.net/wp-content/themes/ovo2/img/ovo-site-header-logo.png?ver=20150518){kind=logo}
パスワードを入力したのに、のしかかるように「確認コードを送ったよ!」と表示されて、うんざりする経験が増えていると思います。
あれが「多要素認証」です。ネットバンキングなどを中心に普及が進みましたが、「なんでパスワードだけじゃダメなの?」と、不満を抱えつつしぶしぶ使っている人も多いと思います。
それはもちろん不正に自分の資産や権利を使われたくないからで、そのための本人確認の仕組みの一つに多要素認証があるわけです。
認証とは、「あなたは本当にほんものなの?」と確かめる行為です。その手段はこれまでパスワード一本槍でしたが、パスワードには誰でも知ってる根本的な弱点があります。パスワードさえ知っていれば、誰でも本人になりすませることです。
フィッシング詐欺でだまし取られる、データ漏洩で流出する、普段の振る舞いから推測される、使い回していたので別サービスから芋づる式に破られる。パスワードが漏れる経路は実にたくさんあります。「セキュリティーの仕組み」と言えば聞こえはいいのですが、崩れがちな砂上の楼閣と言えるでしょう。どれだけ複雑なパスワードを設定しても、知識である以上は、「見られちゃったらおしまい」というもろさは変わりません。
そこで登場するのが多要素認証(MFA:Multi-Factor Authentication)です。現時点で私たちが認証に使う要素は大きく3種類あります。
・知識要素:パスワード、暗証番号、秘密の質問など「知っていること」
・所有要素:スマートフォン、ICカード、ハードウェアキーなど「持っているもの」
・生体要素:指紋、顔、虹彩など「自分自身の特徴」
パスワードは知識要素だけで勝負する方式でしたが、多要素認証ではこの3種類のうち異なる二つ以上を組み合わせます。要素数が二つで確定している場合は2要素認証という言い方もよく使われます。
普段触れるところでは、パスワード+SMSによるスマホへのコード送信、が今もっとも広く使われている組み合わせだと思います。これなら、誰かにパスワード(知識)が漏れても、スマホ(所有)をしっかり自分の手元に置いておけば、その誰かはログインできません。この場合、攻撃を試みる人は、二つの壁を同時に突破しなければならず、攻撃の難易度が上がります。
よく2段階認証という言葉も耳にします(グーグル先生も使っています)。ほぼ2要素認証と同じ意味で使われていますが、違う場合もあるので注意してください。2段階認証はパスワードを2回に分ける(第1暗証番号、第2暗証番号みたいなやつ)だけで、同じ要素を2度使う場合も含みます。パスワードを入力してから秘密の質問に答える方式なども、この類型です。これは2段階ではありますが、どちらも知識要素なので多要素ではありません。漏れる場合は第1暗証番号、第2暗証番号も、パスワード、秘密の質問も一緒に漏れることが多く、「2回チェックしてるから!」と安心しない方がいいです。
ワンタイムパスワード(OTP)を生成するアプリ(Google AuthenticatorやMicrosoft Authenticatorなど)を使う方式もかなり一般的になってきました。決められた時間ごとに変わる使い捨ての数字列で、仮にそれを盗み見られても、すぐに無効になるのでSMSより安全と目されています。重要なサービス利用のシーンではこちらを推奨されることも多いです。
正直なところ、毎回こうしたコードを入力するのが面倒です。
ただ、その面倒くささは安全の証しでもあります。これらの手順は攻撃者にとっても同じく面倒で、今やろうとしている犯罪行為が手間に見合わないと判断させることが目的でもあるわけです。セキュリティー対策に完璧な方法はありませんが、パスワード単体に比べて不正アクセスの難易度は格段に上がります。
もちろん、選択肢がほぼない秘密の質問など、「ただ面倒なだけで安全性皆無!」といったサービスもあるので、日頃から技術知識を身につけて、そうしたサービスを利用しない態度をとっていくといいと思います。
また、セキュリティーは基本的には利便性と安全性のトレードオフが成立しますが、スマホのロック解除だけでログインできるパスキーなど、その溝を埋める技術も開発が進められています。それはまた別の機会に取り上げてみようと思います。
新年度で新しいアカウントを作る機会なども増えると思います。利用するサービスでセキュリティー機能が提供されていれば、まず有効にしてみることをお勧めします。最初の設定さえ済んでしまえば、あとはそれほど煩わしくないことも多いです。面倒くさいなあ、の先には頼もしい防壁があります。
【著者略歴】
岡嶋 裕史(おかじま ゆうし) 中央大学国際情報学部教授/中央大学政策文化総合研究所所長。富士総合研究所、関東学院大学情報科学センター所長を経て現職。著書多数。近著に「思考からの逃走」「プログラミング/システム」(日本経済新聞出版)、「インターネットというリアル」(ミネルヴァ書房)、「メタバースとは何か」「Web3とは何か」(光文社新書)、「機動戦士ガンダム ジオン軍事技術の系譜シリーズ」(KADOKAWA)。Eテレ スマホ講座講師など。
