2要素認証と2段階認証の違い（物理セキュリティキーのすすめ）

2024年12月14日に投稿された記事です。

dotD Advent Calendar 14日目の記事です。

情報漏洩や詐欺のニュースが絶えませんが、
「セキュリティが甘いんじゃない？2段階認証設定してれば大丈夫でしょ？」と他人事のように思ってしまっていませんか？

本稿では、面倒だけどなんとなくセキュリティが守られているように感じる仕組み、2要素認証（+ 物理セキュリティキー）についてのお話をさせていただきます。
なぜ必要なのか納得することで、面倒な気持ちがほんの少し薄れるかもしれません。

目次

1. 2要素認証（2FA）について
2. 2要素認証とは？
3. 認証の要素とは
4. 物理セキュリティキーのすすめ
5. 2要素認証にも潜むリスク
6. 物理セキュリティキーとは
7. どのように機能するのか
8. メリット
9. デメリット
10. まとめ

2要素認証（2FA）について

2要素認証とは？

　2要素認証という言葉をご存知でしょうか？
　身近な例だと、ワンタイムパスワード(OTP)がその1つで、IDとパスワードを入力したらSMSやメールに有効期限付きのパスワードが送られてきて、それを入力してやっとログインできるというなんとも面倒な仕組みです。
　場合によっては数秒以内に入力が求められる専用のアプリが必要になることもあります。

認証の要素とは

さて、2要素認証において "要素" とは何でしょうか？

冒頭のワンタイムパスワードの例だと、
 　①自分で設定したIDとパスワード
 　②送られてきたパスワード
が2つの要素になるわけですが、
実はこの2つは明確に異なる要素として分類することができます。

①の自分で設定したパスワードは
　"記憶を辿れば得られる情報"
②の送られてきたパスワードは
　"送られてくる端末を本人が所持していることで得られる情報" です。

2要素認証を含む多要素認証ではしばしば以下の3つの要素が使われます。

1. 記憶情報
　ID/パスワード/暗証番号/合言葉など、記憶を必要とする情報で、最も使用されているとともに、最も忘れられる情報
　　→ 漏洩するリスクがある
2. 所持情報
　スマホ/PC/ICカード/印鑑/鍵/身分証明書など、物理的に所有しているものを使用する情報
　　→ 盗難/紛失するリスクがある
3. 生体情報
　指紋/顔/静脈など、身体的特徴による情報
　　→ 可能性は低いが誤認識するリスクがある

これらの要素の内、"異なる2つの要素を使った認証" が "2要素認証" と呼ばれます。
一方で、"2段階認証" では "同一の要素を2つ使う場合もある" ため、厳密には2要素認証とは異なるものです。
（IDとパスワードを入力した後に、ひみつの質問に答える、というのはどちらも"記憶情報"を使っているため、2要素認証ではなく2段階認証）

他にも例を挙げるとATMでお金を下ろす際にも2要素認証を行なっているのですが、お気づきでしたでしょうか？

すでにタイトルを回収してしまいましたが、ここからは2要素認証のセキュリティをさらに高めるとともに、パスワード入力の手間を減らすことのできる画期的なアイテム、「物理セキュリティキー」についてお話します。

物理セキュリティキーのすすめ

2要素認証にも潜むリスク

2要素認証では異なる2つの要素を使用することによりセキュリティを高めており、インターネットバンキングをはじめとした重要な情報を扱うサービスで2要素認証が多く導入されているのですが、それでも悪には勝てない場合があります。

既に知られた手法のため詳細には説明しませんが、フィッシング詐欺という手法の場合、本物そっくりのWebサイトを作成し、IDとパスワードを入力させることで、本物のIDとパスワードを盗む手法です。
そのためにワンタイムパスワードがあるんじゃないの？と思った方は要注意です。
それでもフィッシング詐欺には引っかかる可能性があるのです。
なぜなら、本物そっくりのWebサイトにアクセスしてIDとパスワードを入力しているということは、既にWebサイトを疑っておらず、そのまま送られてきたワンタイムパスワードも入力してしまう可能性があるからです。

このように、2要素認証を設定していてもセキュリティが万全とは言えません。
そこで、物理セキュリティキーを使った認証を導入することで、セキュリティをさらに高めることができます。

物理セキュリティキーとは

物理セキュリティキーとは、多要素認証の要素として使用可能なpcやスマホに接続して使用する物理デバイスで、Yubico社のYubiKeyやGoogle社のTitan Security Keyなどが有名です。

Yubico FIDOセキュリティキー NFC(黒) - FIDO2/U2F/USB-A ポート/NFC/MFA 2要素認証/高耐久性/耐衝撃性/防水防塵www.amazon.co.jp

5,700円(2024年12月14日 21:40時点 詳しくはこちら)

Amazon.co.jpで購入する

Titan Security Key - FIDO2 USB-A/USB-C + NFCTitan セキュリティ キーは、高度な保護機能プログラムによりフィッシングを防止し、Google アカウントを守る最強のstore.google.com

どのように機能するのか

なぜ物理セキュリティキーを使うとセキュリティが高まるのかという話ですが、先ほどのフィッシング詐欺の場合を鍵と鍵穴に例えると、
悪意のある第3者は本物そっくりのWebサイト（鍵穴）を作って、IDとパスワード（鍵）を入力させることで、鍵の情報を盗みます。

そこで、あらかじめ物理セキュリティキー（鍵）を本物のWebサイト（鍵穴）に登録しておくことで、本物のWebサイト（鍵穴）以外では物理セキュリティキー（鍵）を使っても認証が通らないようになります。
※ウイルス感染のリスクもあるため、物理セキュリティキーを使用していても怪しいURLには決してアクセスしないようにしてください。

メリット

• フィッシング対策
• 認証の手間が省ける
  キーの挿入もしくはキーに付属のボタンを押すだけで認証が完了するため、パスワードを入力する手間が省けます。
• 漏洩リスクが減少する
  パスワードの代わりに使用することで、パスワードの漏洩リスクや管理の煩雑さが軽減されます。

デメリット

• 持ち歩く必要がある
  　当然ですが、物理キーを持ち歩かないと認証できないため持ち歩く必要があります。
  　筆者は外出時は財布に入れています。
• 紛失するリスクがある
  こちらも当然ですが、認証できなくなります。
  とはいえ紛失したとしても物理キー単体では認証情報を解読できないため、キーが紛失した場合でも悪用されるリスクは低いです。
  また、バックアップキーや代替認証方法を設定しておけば問題ありません。
• 価格
  サイズや指紋認証機能の有無などによって価格が変わります。
  なくても使えるサービスがほとんどなので、セキュリティを高めるための投資、入力の手間を軽減できると考えると納得できるかもしれません。
• 使えるサービスが限られている
  全ての2要素認証の代替として使えるわけではなく、物理セキュリティキーを使った認証に対応しているサービスが限られています。
  GoogleやFacebook、Twitterなどの大手サービスが対応しているため、利用頻度が高いサービスには対応している可能性が高いですが、今後の普及に期待したいです。

まとめ

さいごに本記事のまとめです。

• 2要素認証は2つの要素を使って認証する多要素認証の仕組みの一つで、2段階認証とは異なるもの
• 2要素認証には記憶情報、所持情報、生体情報が使われ、異なる2つの要素を使うことでセキュリティを高める
• フィッシング詐欺などのリスクがあるため、2要素認証だけではセキュリティが万全とは言えない
• 物理セキュリティキーを使うことでセキュリティを高めることができる（そしてちょっとだけパスワード入力の手間を省ける）

最後までお読みいただきありがとうございました。