PR

 IDとパスワードだけを使ったユーザー認証は、パスワードは正規のユーザーしか知りえないものという前提で成り立っています。IDとパスワード以外にチェックする手立てがないのです。しかし、フィッシング詐欺やスパイウエアなどによってパスワードが容易に盗まれることは周知の事実になっています。

 そこで、第二の認証方式を併用するというのが「2要素認証」というものです。もともと、ユーザー認証には大きく三つの考え方があります。「something you know」(知っていること)、「something you have」(持っている物)、「something you are」(生体個別の特徴を持っている)です。このうち、二つ以上の認証方法を併用すれば、より認証強度が高まります。IDとパスワードが盗まれたとしても、もう一つの認証方式まで盗まれなければ自分のIDが悪用される危険性が減るからです。

ワンタイムパスワード方式が普及

 2要素認証で、ID/パスワードに加えて利用できる認証方式としては、ワンタイムパスワードやICカード、バイオメトリクス(指紋など)などを使った例があります。これらの中で、インターネットのコンシューマ向けサービスで多く利用されているのがワンタイムパスワードです。使い方が他の方法よりも簡単で、パソコン初心者などでも使いやすいというのが理由です。国内では、三井住友銀行とジャパンネット銀行が2006年にワンタイムパスワードを使ったユーザー認証方式を採用しました(有料サービスも含みます)。

 ワンタイムパスワードでは、ユーザーが持っている専用装置(トークンともいう)やソフトが、一定間隔ごとに使い捨てのパスワードを生成。そのパスワードを第二のパスワードとしてサービスを利用する際に入力し、その両方が認証されたら初めてサービスを利用できるのです。


ワンタイムパスワードの仕組み

 ただし、ワンタイムパスワードを使うと、ユーザーは不便になる恐れもあります(セキュリティを高めると利便性が低くなるのは世の常ですが)。サービスごとにワンタイムパスワード用の生成装置を持ち運ぶ手間がかかるということです。

 この問題をクリアして普及しそうなのが、携帯電話を使ったワンタイムパスワードです。携帯電話にインストールしたソフトがワンタイムパスワードを生成するというものです。携帯電話は、ユーザーがいつでも持ち運んでいるデバイス。これで何種類ものサービスのワンタイムパスワードを生成できれば、利便性をあまり損なわないですみます。

 もう一つ、コスト負担の問題があります。第二の認証方式を導入すると、サービス提供事業者はその仕組み作りや運用のためのコストが追加されます。このため、ユーザーのコスト負担が増える可能性があります。しかし、例えば、SRAセキュリティというセキュリティベンダーが、ワンタイムパスワードなど第二の認証方式のインフラをさまざまな企業が共通して利用できるというサービスを提供しています。こうしたサービスが増えれば、サービス提供事業者の仕組み作りなどの負担が減ります。ユーザーのコスト負担も減ることでしょう。

■変更履歴
最終段落にある「しかし、例えば、~~というセキュリティベンダーが、」の個所で、企業名に誤りがありました。お詫びして訂正します。本文は修正済みです。[2007/01/05 12:04]