二要素認証(Two-Factor Authentication、2FA)は、パスワードのような「知っている要素」に加え、「持っている要素」「身体的要素」など別カテゴリの認証を組み合わせて本人確認の精度を高める仕組みです。パスワードリスト攻撃やフィッシングで認証情報が大量流出する現代において、オンラインサービス利用の最低限のセキュリティ対策として広く推奨されています。
この記事の目次
- 認証の3要素
- 二要素認証の主要な実装方式
- パスキーへの進化
- 二要素認証で気をつけたいこと
- まとめ
認証の3要素
認証は「知っているもの」「持っているもの」「自分自身のもの(生体)」の3要素に分類されます。二要素認証はこのうち別カテゴリの2つを組み合わせる方式で、パスワード(知識)+スマホアプリのワンタイムコード(所有)が代表的な構成です。
似た用語に「二段階認証」があり、これは2回認証ステップを踏むという意味で、厳密には「同じ要素を2回」でも該当します(例: パスワード+秘密の質問)。セキュリティ上の効果が高いのは要素を変える二要素認証の方で、重要なサービスでは可能な限り二要素を選ぶのが望ましい考え方です。
二要素認証の主要な実装方式
実装方式にはいくつか段階があり、安全性とユーザー体験のバランスで選ばれます。SMS送信は導入が簡単で普及している一方、SIMスワッピング攻撃やSS7プロトコルの脆弱性を突かれる事例があり、現代では推奨度がやや下がりました。
より安全なのは認証アプリのTOTP(時間ベースのワンタイムパスワード)と、FIDO2 / WebAuthn対応のハードウェアセキュリティキー(YubiKeyなど)です。セキュリティキーはフィッシング耐性まで備えており、技術ジャイアントの社員はみなこの方式に切り替えていると言われます。
パスキーへの進化
近年注目されているのがパスキー(Passkey)と呼ばれる仕組みです。FIDO2/WebAuthnを基盤とし、ユーザーは指紋や顔認証で端末ロックを解くだけで、サービスへの認証は端末内の秘密鍵が自動で行います。パスワード自体を持たず、フィッシング耐性も高いという理想形です。
GoogleやApple、Microsoftが2022年から本格的に対応を進めており、iCloudキーチェーンやGoogleパスワードマネージャーで端末間同期もできるようになりました。「パスワード時代の終わり」と言われるゆえんで、個人サービスから順に置き換えが進んでいきます。
二要素認証で気をつけたいこと
二要素認証で最も多いトラブルは、認証用のスマホをなくしたり機種変更でアプリを移行できず、アカウントから締め出されるパターンです。サービスが提供する「リカバリコード」を必ず印刷・保管しておくこと、重要アカウントには複数のセキュリティキーを登録しておくことが鉄則です。
もう一つの注意点が「管理者権限の二要素認証」。AWSのrootアカウントやGitHubのOrganization管理者など、落とすと致命傷になるアカウントは何が何でもセキュリティキーを使う方針が安心です。個人がSNS用に始めるレベルからエンタープライズ運用まで、段階を意識してリスクと利便性のバランスを取りましょう。
まとめ
二要素認証はもう「設定すべき」ではなく「設定していないのが異常」という時代に入りました。パスキーによる「パスワード自体を捨てる」未来も視野に入る中、個人も組織も認証方式の進化に追いついていく姿勢が求められます。
※本記事はIT用語辞典の手書きドラフトです。公開前に最新情報・出典を確認のうえ加筆修正してください。
コメント