開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ

  • 2020/01/10

楠 正憲氏が語る「サービス撤退を避けるためのID管理」とは (2/2)


ID管理を強化する「多要素認証」の現在

 適切にIDを管理して情報セキュリティを担保するためには「認証」を強化することが重要だ。

 そもそも認証には「所持しているもの」「記憶していること」「その人自身(生体)」の3要素がある。このうち、IDとパスワードは「記憶」を用いた認証だが、より強固な認証方法として、二段階認証(2-step authentication)や複数の要素を組み合わせた多要素認証(multi factor authentication:MFA)などが挙げられる。

 両者の違いについて楠氏は「既存手法の段階的な組み合わせが二段階認証であり、生体認証によるシームレスな顧客体験(UX)を提供するのが多要素認証だということができるが、広義にはどちらも多要素認証の一種だ」と説明する。

 以下では、具体的な多要素認証の例として、スマホを用いた場合を考えてみよう。パスワード認証の不備を補うために、スマホ(所持認証)とIDとを紐づける方法で、一般的に、認証キーをSMSなどのプッシュ通知や、端末宛に音声通話で知らせる方法などがある。

 特に、SMSを用いた二段階認証は、低コストで本人確認情報との紐づけが実現できるメリットがある。携帯回線の維持には月額数千円が必要であるため、不正・複数アカウント取得の抑止にも一定の効果があると言える。


「SMS二段階認証」の限界

 しかし、SMSを用いた二段階認証は、1通あたり数円を要するSMS送信費用や、ユーザー側の操作の煩雑さという課題がある。また、規制が緩い海外で身元を明かさずに電話回線を取得することが可能であるなど、本人確認には限界があることや、端末を奪われる可能性などが確認されている。

 さらには、佐川急便をはじめとする配送会社の不在通知を装い、不正アプリをインストールさせ、他人のSMSを傍受するサイバー攻撃の手口も確認されるなど「SMS認証の限界」を感じさせるような手口も報告されている。

画像
便利なSMS認証には安全性の限界も指摘される

 こうしたSMS認証の限界を理解したサービス設計を要する点に注意が必要だ。楠氏は「他の認証デバイスによる本人確認が必要となるケースがある」として、マイナンバーカードを所持認証に用いる多要素認証について説明した。

 マイナンバーカードはWindows PC、Mac、Androidに続き、2019年10月からiPhoneでも利用者認証用電子証明書による認証が利用可能になった。

 楠氏は「マイナンバーカードは約2000万枚と、普及率の低さが課題だが、消費活性化策としてスマホ決済などと連動させてポイントを付与するマイナポイント制度や、健康保険証機能の付与などで、普及を進めるためにさまざまな施策が予定されており、普及率は改善される見通しだ」と説明する。

 また、パスワードに代わる本人認証手段として注目されるのが生体情報の活用だ。生体認証の規格を標準化も進んでいる。

 たとえば、Web技術の標準化団体であるW3Cでは、パスワードレス認証の規格であるFIDO認証の「FIDO 2.0」をWeb認証API(WebAuthn)として標準化した。対応するWebサービスも登場している。

 WindowsやmacOS、AndroidがFIDO認証を標準サポートしており、端末のロック解除だけでなく、認証に指紋や顔を利用することができるようになっている。


トピックス

PR