認証するということ(4)要素のこと

認証するということ(4)要素のこと

認証するということのシリーズが中断してしまっていました。これまで、パスワード、乱数表、ワンタイムパスワードと解説してきました。

認証するということ(1)パスワード編

認証するということ(2)乱数表

認証するということ(3)ワンタイムパスワード

今回は、2要素認証と2段階認証についてです。

認証するということを、少し深く掘り下げてみましょう。認証するということは、「間違いなくその人であることを確認する」ということです。

今回は、簡単に考えるために、「Aさん」という架空の人物を考えてみます。

Aさんが、間違いなくAさんであることを確認することが認証なのですが、その認証には、おおきく2つの機能が必要です。

ひとつは、「他の人をAさんと判断しないこと」、もうひとつは「Aさんを他の人と判断しないこと」ということです。専門的には、それぞれの確率を「他人受入率」と「本人拒否率」ということもあります。

認証するための要素は、いくつも考えられます。

例えば、住民票や、個人事項証明(戸籍抄本とは言わなくなりました)といった公的な文書がパスポートの発行では必要になりますし、免許証を発行するときも住民票が必要です。国家資格を申請するときには、こういった「間違いなくAさんである」ことを証明するための書類を提示する必要があります。自治体によっては、ネットカフェでPCを使うときには、免許証の提示を求められることもあります。

ここで、住民票や個人事項証明、パスポートや免許証を提示するということは、Aさんの記入した情報と、公的な書類に記載されている住所や記載内容から、間違いなくAさんであることを確認していると言うことになります。生年月日が違っていたり、住所が違っていたりすると、本人ではない、ということになります。

実際には、その場でスムーズに記載できていないとか、住所なのに漢字を間違って記入しているというようなことを確認していることもあります。

対面では、非常に簡単にできることではあるのですが、非対面、つまり、インターネットバンキングやメールのログインのように、対面ではない状態では、どのように本人確認を行うことになるでしょうか。

本人しか知らない情報

非対面で一般的に使われるのは、IDとパスワードです。IDがメールアドレスだったりすることも多いのですが、パスワードが「パスワードはAさんしか知らないこと」という前提にたって、Aさんであることを確認しているのです。

厳密には「Aさんしかしらないこと」ではないのですが、「質問形式」のパスワードを入力するサイトもあります。例えば「母親の旧姓は?」とか「卒業した小学校は?」といったものです。これは、別にAさんだけが知っているものではなく、Aさんのことをよく知る人なら、簡単に分かってしまうことでもありますが、いくつも質問を組み合わせることで、Aさんであることを確認しています。

では、「Aさんしか知らないこと」以外に、認証する方法はないのでしょうか。

本人しか持っていないもの

キャッシュカードのように「持っているもの」で本人と確認する方法があります。銀行の暗証番号は一般に4桁です。つまり、1万分の1で暗証番号は一致してしまうことになります。暗証番号だけでは本人と確認することはできません。そこで、「Aさんしか持っていない」キャッシュカードを組み合わせることで、確実にAさんだと判断しているのです。

ただし、キャッシュカードが盗まれた場合、暗証番号は1万分の1の確率で一致してしまいます。このため、最近では生体認証のキャッシュカードも増えてきました。ある銀行では、生体認証だけで、キャッシュカードを不要とするところもあるようですが、生体認証も「持っているもの」で、本人を確認する方法です。

キャッシュカードの生体認証は、人の指、または手のひらの静脈を確認しています。その他に、目の虹彩を確認する仕組みもあります。最近では、指紋は変造される可能性が高いことから、あまり使用されなくなりました。

ATMなどでは、専用の読み取り装置が付いているので、安全に利用できるのですが、自宅からインターネットバンキングで振込をしたいときには、さすがに静脈の読み取り装置はありません。そこで、インターネットバンキングを申し込むと、テンキーつきのものだったり、キーホルダー型の「トークン」が送られてくることがあります。これも「持っているもの」です。

トークンの情報は、30秒や1分ごとに変わります。トークンを持っていなければ、正しい数字を入れることができないので、トークンの数字を入力することで、「間違いなくAさんである」ことが確認できます。

トークンの代わりに、スマートフォンのSMSで数字が送られてきたり、専用のアプリに表示されている数字を入力したりすることがあります。これも、Aさんのことをよく知っている人がいても、ほぼ知られることのない情報なので、「持っているもの」に分類できます。この数字は「ワンタイムコード」や「ワンタイムパスワード」と呼ばれます。

その他に、カード型でマス目に数字やアルファベットの書かれた乱数表を採用している金融機関もあります。この乱数表も「持っているもの」になります。

ここまでの情報を整理します。

ポイント

認証のためには、2つの確率を下げることが必要です。

  • 他人を誤って受け入れてしまう確率。
  • 本人を誤って拒否してしまう確率。

非対面の認証のためには、2つの要素があります。

  • 本人しか知らない情報(パスワード)
  • 本人しか持っていないもの(キャッシュカード、トークン、乱数表)

最近の2要素認証

最近、セキュリティを高めるために「2要素認証」という表現を見かけますが、これは「本人しか知らない情報」と「本人しか持っていないもの」を組み合わせることで、より認証を正確に行うことを目的としています。ここがポイントです。

2要素認証と2段階認証の違い

2要素認証と混同しやすい言葉に「2段階認証」があります。2要素認証とは、文字通り複数ある本人認証のための要素の中から2要素を認証に用いることで、2段階認証とは、一度パスワードで認証した後に、登録された連絡先に対して送信されてくる合言葉などを入力して認証することです。

(1)パスワード管理ツールによる「2→1要素認証化」

最近のパスワード管理ソフトでは、パスワードを管理するだけではなく、ワンタイムコードも生成できるようになりました。これはこれで非常に便利です。ただ、パスワード管理ソフトを利用するために、何が必要なのか、ということを考える必要があります。

例えば、一部のスマートフォンやノートパソコンのように、指紋でパスワード管理ソフトが利用できるということであれば、2要素認証と言えます。

ただ、いわゆる「マスターパスワード」だけが求められているのであれば、それは「本人しか知らない情報」だけの1要素で、ID・パスワード・ワンタイムコードまで入手できてしまいます。サービスを提供する側は2要素認証として提供しているのですが、利用する側は1要素認証になってしまっています。

私が利用しているパスワード管理ソフトも確認してみましたが、確かに2要素認証を有効にすることはできましたが、そのデバイスでの初回利用時のみ求められるもので、普通に利用するときにはマスターパスワードのみでした。これでは、2要素認証とは言えません。

このように、利用方法や利用環境によって、2要素認証が必ずしも2要素認証にならないことには注意が必要です。

(2)メールによるワンタイムコードの通知

メールでワンタイムコードが送信されてくる場合もあります。このメールを、操作している端末とは別の端末で受信するか、同じ端末で受信するか、という問題もあります。SMSであれば、他の電話番号で受信されてしまう可能性はありませんが、メールの場合は、他の端末でも受信できてしまうことが多く、結果として「本人しか持っていないもの」にならないのです。

キャリアメールのように、確実にその端末以外では受信できないことが保証されていることが、メールによる2要素認証の条件です。

(3)セキュリティキー

FIDOに対応しているようなセキュリティキーであれば、確実に「本人が持っているもの」なので、パスワードと組み合わせることで2要素認証と言えます。

セキュリティキーも、いくつか市販されていますが、直販サイトでも日本円で4,000円前後と言ったところです(通販サイトでも購入できますが、どのように使用されているのか分からないので、未使用であることが保証されていなければ、直販サイトから購入することをお勧めします)。

セキュリティキーを求められたら、USBに差し込んだり、NFCに対応しているものであればアンテナ部にかざしたりします。ボタンを押すこともあります。初回に登録が必要ですが、登録ができてしまえば、非常に簡単に使うことができます。

セキュリティキーでも、Bluetoothに対応しているものもありますが、USBを直接挿入したり、NFCのように近接しているのと違い、Bluetoothは電波が30メートルほど飛んでしまうため、どの端末に対して情報を送信しているのか、保証されない懸念があります(製造元も同じような懸念を表明しています)。せっかく「持っているもの」で認証するのですから、このあたりは、どこかで実際に入手してみて、レポート記事を書く予定です。

パスワードの使い分けは有効か?

FISC安全対策基準には、「参照用と重要取引用でパスワードを使い分ける」という記載があります。これは有効なのでしょうか。

どちらのパスワードも「強いパスワード」になっているのは当然のこととして、どちらも「Aさんしか知らないこと」です。これは1要素認証なので、2種類のパスワードに違いはありません。「持っているもの」が使われていない限り、強力であるとは言えません。

ワンタイムコードは、ある意味では「数字のみのパスワード」です。一見すると、パスワードとしては弱いように見えますが、実際には1分後には使用できなくなってしまうことから、一発で的中させることは極めて困難です。それが参照用であれ、重要取引用であれ、固定的なパスワードが使用されている場合、一発で的中させる確率はどちらも同じです。この観点からすると、「意味はない」というのが結論です。

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です