インターネットを安全に使うために欠かせない技術が2要素認証です。最近では、SNSへのログインや銀行アプリを使う際、スマートフォンに数字が送られてきたり、指紋でロックを解除したりする機会が増えました。これはすべて、あなたの大切な情報を守るための仕組みです。今回は、ITパスポート試験でも頻出の2要素認証について、難しい言葉を使わずに分かりやすく解説します。
認証の3要素を知ることから始めよう
2要素認証を理解するためには、まず、認証に使われる要素に3つの種類があることを知る必要があります。私たちの身の回りにあるものを例に挙げて、一つずつ確認していきましょう。
知識要素:あなただけが知っていること
これは、本人の頭の中にだけある情報を指しています。最も一般的なのはパスワードです。他にも、暗証番号や、秘密の質問の答えなどもこれに含まれます。覚えやすくて便利な反面、他人に推測されたり、メモを見られたりすると簡単に突破されてしまう弱点があります。家の鍵に例えるなら、ダイヤル錠の番号を覚えている状態に近いといえます。
所持要素:あなただけが持っている物
文字通り、本人が物理的に持っているアイテムを使って本人確認をする方法です。例えば、スマートフォンに届くSMSのワンタイムパスワード、銀行のキャッシュカード、会社のICカードなどが該当します。これらは形がある物なので、その人本人でなければ持っていないという前提で信頼性が保たれます。家の鍵そのものを持っている状態だと考えるとイメージしやすいでしょう。
生体要素:あなた自身の特徴
体の一部や特徴をデータとして利用する方法です。iPhoneの顔認証(Face ID)や、スマートフォンの指紋認証が代表例です。他にも、目の虹彩や声紋、手のひらの静脈などで判断する場合もあります。自分自身の体を使うため、忘れたり紛失したりする心配がないのが最大のメリットです。替えのきかない唯一無二の鍵を持っているようなものです。
2要素認証と2段階認証は何が違うのか
ここで多くの人が混乱するのが、2要素認証と2段階認証の違いです。言葉は似ていますが、その中身には決定的な違いがあります。結論から言うと、異なる種類の要素を組み合わせているかどうかがポイントです。
2要素認証は、先ほど挙げた3つの要素(知識・所持・生体)の中から、異なる2つのグループを組み合わせて使うことを指します。例えば、パスワード(知識)とスマートフォンでのSMS承認(所持)を組み合わせるパターンです。これなら、仮にパスワードが盗まれても、物理的なスマートフォンを持っていなければログインできないため、安全性が劇的に高まります。
一方で2段階認証は、単に確認の手順が2回ある、という意味しかありません。例えば、最初にパスワード(知識)を入力し、その次に秘密の質問(知識)に答えるという流れなら、どちらも同じ知識要素を使っています。これは2段階の手順を踏んでいますが、2要素認証とは呼びません。ITパスポート試験では、この違いを問われることもあるので、種類が違うものを混ぜているかどうかに注目してください。
なぜビジネスの現場で必須なのか
会社に入ると、自分のパソコンや社内システムにログインする際に、2要素認証を求められることが増えます。なぜなら、ビジネスで扱う情報は、個人のデータ以上に漏洩した際の影響が大きいからです。
もしパスワードだけの認証だった場合、簡単なパスワードを設定していたり、使い回していたりすると、悪意のある第三者に簡単に見破られてしまいます。しかし、2要素認証を導入していれば、社員のパスワードが漏れたとしても、社給のスマートフォンやICカードが手元になければ不正アクセスを防げます。セキュリティの壁を2枚、しかも種類の違う壁を作ることで、企業の信頼と顧客の情報を守っているのです。
ITパスポート試験対策のポイント
2要素認証は、情報セキュリティマネジメントの分野で非常によく出題されます。得点源にするためのポイントは、どの認証方法がどの要素(知識・所持・生体)に分類されるかを正確に仕分けることです。
試験では、具体的なケースが示され、それが2要素認証になっているかを選ばせる問題が出ます。迷ったときは、それが頭の中にあることなのか、手に持っている物なのか、自分の体の一部なのか、と自分に問いかけて分類してみてください。この分類さえできれば、正解を導き出すのは難しくありません。
過去問に挑戦
それでは、実際の試験でどのように出題されるか、過去問を解いて確かめてみましょう。令和4年度の問82を題材にします。
A社では、従業員の利用者IDとパスワードを用いて社内システムの利用者認証を行っている。セキュリティを強化するために、このシステムに新たな認証機能を一つ追加することにした。認証機能aからcのうち、このシステムに追加することによって、二要素認証になる機能だけを全て挙げたものはどれか。
a. A社の従業員証として本人に支給しているICカードを読み取る認証
b. あらかじめシステムに登録しておいた本人しか知らない秘密の質問に対する答えを入力させる認証
c. あらかじめシステムに登録しておいた本人の顔の特徴と、認証時にカメラで読み取った顔の特徴を照合する認証ア. a
イ. a, b, c
ウ. a, c
エ. b, c
解答と解説を確認しましょう。
まず、現在使っている利用者IDとパスワードは知識要素に分類されます。2要素認証にするためには、これ以外の所持要素または生体要素を追加する必要があります。
aのICカードは、本人が持っている物なので所持要素です。
bの秘密の質問は、本人が知っていることなので知識要素です。
cの顔の特徴は、本人の体に関することなので生体要素です。
したがって、知識要素であるパスワードに加えることで2要素認証となるのは、aの所持要素とcの生体要素です。正解はウとなります。それぞれの要素の違いが分かれば、非常にシンプルな問題であることが分かります。
まとめ
2要素認証は、私たちのデジタルライフを守るための心強いパートナーです。以下の3つのポイントをしっかり押さえておきましょう。
– 認証には知識・所持・生体の3つの要素がある
– 異なる種類の要素を2つ組み合わせるのが2要素認証である
– ステップを分けるだけの2段階認証とは意味が異なる
この知識は、試験に合格するためだけでなく、社会人として自分の身を守り、周囲の信頼を得るためにも一生役立つものです。私の身近でも、SNSアカウントの乗っ取り被害に合われた方増えてきています。その方々はやはり2段階認証を設定してなかったようです。仕組みを正しく理解して、安全なITライフを送りましょう。
