セキュリティ強化のための2段階認証・生体認証入門御社のサービス、安全ですか?

先月、とあるモバイル決済アプリが不正利用され、被害は5,500万円に及んだというニュースがありました。翻って、「うちのサービスのセキュリティは大丈夫なのか?」と思われた企業担当の方は多いのではないでしょうか?
安全性を保つため、ログインにおけるセキュリティ担保のための標準となりつつある2段階認証と、それに生体認証を用いる場合のメリット・デメリットについてまとめました。

目次

  1. 1. なぜ今、2段階認証が求められるのか?
  2. 2. 2段階認証とは?
    1. 2-1. 認証の3要素とは?
  3. 3. 2段階認証に生体認証を取り入れるメリット・デメリット
    1. 3-1. 事業者側のメリット
    2. 3-2. 利用者側のメリット
    3. 3-3. 事業者側・利用者側、双方のデメリット
  4. 4. セキュリティ強化のための生体認証に、ご興味をお持ちの方へ

なぜ今、2段階認証が求められるのか?

アカウントの管理方法として主流となっているID・パスワードの組み合わせ。しかし、この管理方法ではUX(ユーザーエクスペリエンス)の低下やオペレーションコストの負担、とりわけセキュリティリスクが高いことをお伝えしました。

さらに、急速にキャッシュレス決済が広がりをみせるなか、オンライン上の決済サービスには不正アクセス・不正利用等のターゲットにされやすい側面があります。利用者が増えていく分、それらのセキュリティの穴を突くような行為の多発は避けられません。

報道によると、生年月日と電話番号、メールアドレスがわかればパスワードを変更でき、パスワード再設定案内の送信先メールアドレスも自由に指定できたことが不正に繋がったケースがあるようです。また、利用登録時や決済時の「2段階認証」も求められなかったと報じられています。

2段階認証」とは、セキュリティを強化するための手段としてよく用いられる認証方法です。次項では「2段階認証」について解説します。

2段階認証とは?

2段階認証とは、その名のとおり、2段階で認証することを意味しています。

たとえば、1段階目ではパスワード認証を行い、2段階目ではワンタイムパスワード認証※1や、SMS認証※2を行うケースなどです。この場合、1段階目のパスワードが漏洩してしまっても、もう1段階の認証を突破しなければならないため、セキュリティ強化の方法として、標準的に用いられています。

2段階認証の操作イメージ
図1:2段階認証の操作イメージ

どういった認証方法を2段階に組み込むかが重要になってきますが、それらは「認証の3要素」を組み合わせることで実現します。

※1:ワンタイムパスワード認証とは?
一度きりしか使えない、使い捨てのパスワードを生成させ、それによる認証を行うこと。認証のたびに違うパスワードが必要となる。パスワードの生成・通知方法としては、トークンというデバイスを使用する方法や、メール受信する方法、スマホアプリ内の機能を使用する方法や、電話で聞き取る方法などがある

※2:SMS認証とは?
スマートフォン・携帯電話のショートメッセージサービスによって、利用者所有のそれらにコード等を送信し、認証を行うこと。ワンタイムパスワードの一形態。

認証の3要素とは?

認証に用いられる要素は以下の3つに大きく分けることができます。

  • 知識・情報…パスワード、生年月日、暗証番号、秘密の質問etc.
  • モノ(所有)…ICカード、スマホ・携帯電話(内蔵のSIMカード)etc.
  • 生体…顔、指紋、声etc.
認証の3要素

2段階認証ではこれらの組み合わせで、2回に分けて認証を行います。

Webサービスの認証における2段階認証の組み合わせ例
図2:Webサービスの認証における2段階認証の組み合わせ例

もちろん3要素のうち、同一要素を組み合わせるよりも、異なる種類の認証を組み合わせたほうが、セキュリティが高くなります

というのも、パスワード等の知識・情報認証を2回行う場合、両方の情報が漏洩してしまっては手の打ちようがありません。

一方で、パスワード認証と、所有スマートフォンへのSMS認証の組み合わせでは、パスワードが漏洩されても、スマートフォンが奪われなければ、不正利用を防ぐことができます。

生体認証との組み合わせにいたっては、自身の生体情報を盗まれない限り、高いセキュリティが保たれることになります。指紋や手のひらの静脈、声や顔など、生体情報を2つ以上組み合わせる認証方法においては、なりすましはほぼ困難といえるでしょう。

セキュリティ強化のために、いち早く、2段階認証に生体認証を取り入れている事例もあります。
個人向けカードローンを提供しているSMBCモビットの公式スマホアプリでは、2018年から、ログインおよび借入時に生体情報(指、顔、声)による認証を導入しています。指、顔、声の3つのうち、2つの生体情報を利用者側で選択してもらい、認証を実施しています。

仮想通貨取引所のDMM Bitcoinでも、マイページへのログイン時には生体認証を用いた2段階認証を設けています。こちらはスマートフォンだけでなく、PCでマイページを利用する際にも生体認証でログインできるようになっています。利用者の操作方法としては、ログイン時にPCブラウザ上に表示されるQRコードをスマートフォンアプリで読み取り、アプリ上で生体認証を行います。生体情報が認証されると、PCブラウザ上のログインが完了します。

これらにはPolarifyの生体認証サービスが利用されています。

2段階認証に生体認証を取り入れるメリット・デメリット

認証の3要素のうち、セキュリティを強くするためには生体認証が有効となりますが、その具体的なメリットやデメリットをみていきましょう。

事業者側のメリット

  • セキュリティが強化される
  • コストが少なくて済む

第一に、認証の対象が生体情報のため、複製されづらく、強固なセキュリティであることが最大のメリットです。指紋認証は突破されやすい、双子だと顔認証されてしまう、といったケースもあるようですが、パスワード漏洩のように不特定多数の利用者が一度に狙われる事態にはなりづらいといえます。

二つ目として、コストが軽減されるメリットがあります。ワンタイムパスワード認証では、ワンタイムパスワードを発生させるためのデバイスを用意する場合、それに対してコストがかかってきます。SMS認証でもショートメッセージの送信ごとに課金されます。生体認証では、デバイス料や送信ごとの課金はされないため、コストの軽減が見込めるのです。

利用者側のメリット

  • セキュリティが強化される
  • UX(ユーザーエクスペリエンス)の向上

事業者側と同様に、セキュリティの強化は利用者側にも大きなメリットとなります。生体情報はよほど標的として絞り込んで狙われない限り、なりすましされづらいため、不正アクセス等の被害にあうリスクも低くなります

また、ワンタイムパスワードやSMSの確認および入力等の煩雑な作業が不要になるのもメリットのひとつといえます。

事業者側・利用者側、双方のデメリット

  • 操作環境によって認証が制限されることがある
  • 生体情報が経年劣化する可能性がゼロではない

汚れた指での指紋認証や、暗い場所での顔認証、周囲が騒がしい中での声認証では、生体認証のための環境が整わず、認証が行われない場合があります。汚れのついていない、濡れていない指、明るい場所や騒音が入らない場所など、一定の条件を満たさなければ操作することができません

もう1点、デメリットとして挙げられるのが、生体そのものの経年変化です。利用者が年をとって、顔にしわができた、声が変わった場合に、正しく認証が行われるのかどうか――加齢による変化、ケガや病気などによる部位の欠損・変化などがある場合、認証できなくなる可能性は否めません。

生体認証技術の発展からさほど年月が経っていないため、経年変化における実例が積みあがっていない点では、デメリットのひとつといえるかもしれません。

こういったリスクを避けるべく、ポラリファイでは、利用者の生体情報を所有のスマートフォンと紐づける工夫をしています。スマートフォンの機種変更時には生体情報の再登録が必要な仕組みとし、生体情報を最新情報に書き換えるようにしています。
スマートフォンと生体情報を紐づけることで、「モノ」と「生体」の2つの要素を同時に認証しますので、認証の強度は格段に高まります

生体認証を導入した際のメリットとデメリット
図3:生体認証を導入した際のメリットとデメリット

セキュリティ強化のための生体認証に、ご興味をお持ちの方へ

セキュリティを強化するための方法として、標準となりつつある2段階認証。その組み合わせに生体認証を用いれば、より安全性を高められることをお伝えしました。

具体的なサービス内容については次回以降となりますが、生体認証にご興味を持たれた方、また、実際のサービスについてお知りになりたい方は、こちらのページからお気軽にお問い合わせください。

生体認証サービス 記事インデックスに戻る

生体認証サービスに関するお問い合わせ

生体認証や弊社サービスに関するお問い合わせなど、お気軽にご相談ください。

お問い合わせはこちら
ページTOPへ