二段階認証は、Webサービスやアプリにログインする際に2回にわけて認証を行うことです。なりすましや不正アクセスを防ぐ手段として、二段階認証は多くのサービスで採用されています。

本記事では、二段階認証の仕組みや主な認証の種類、導入するメリットや注意点などを解説します。二段階認証の主流であるSMS認証が使えるSMS送信サービスについても紹介しているので、ぜひチェックしてみてください。

この記事の内容
  • 二段階認証はログイン時に2回に分けて認証する仕組みで、SMS認証やアプリによる認証、生体認証など複数種類の認証方法を組み合わせて利用する
  • IDとパスワードだけの認証では第三者による不正アクセスのリスクが高くなるため、特に個人情報などを扱うサービスでは二段階認証の導入が求められる
  • 二段階認証を導入する際は、「対応できないセキュリティリスクもある」「手間やコストがかかる」といった点に注意が必要
API連携でSMS送信 NTT CPaaS 「SMS API」

二段階認証とは

二段階認証とは、2つの段階を経て本人確認を行う手法です。Webサービスやアプリ、ソフトウェアなどにログインする際に、セキュリティコードの入力や秘密の質問など、ID・パスワードの入力とは別の本人確認方法を行うことで、正式にログインできる仕組みです。

二段階認証の主な目的はセキュリティ対策であり、なりすましによる不正ログイン防止に役立ちます。ログインには2段階の作業が必要となるため、面倒に感じる人もいるでしょう。ただ、同じブラウザを使う場合、一度二段階認証に成功していれば通常2回目以降は省略されるケースが多く、普段使うブラウザの操作では負担となりにくいでしょう。

ドコモの携帯端末など、二段階認証の強弱をユーザー自身で選択し、負担を軽減できるよう配慮されている方法もあります。

二段階認証と二要素認証との違い

二段階認証とよく似た言葉に「二要素認証」があります。二段階認証が2つのステップに分けて認証する方法であるのに対し、二要素認証は「知識要素」「所有要素」「生体要素」という異なる種類の情報を2つ組み合わせて行う認証方式です。

二要素認証で用いる上記3つの要素について、以下で詳しく見ていきましょう。

知識要素

知識要素とは、本人しか知らない情報を用いた認証手段のことです。代表的なものとして、パスワードやPINコード、秘密の質問などが挙げられます。情報を記憶していれば認証できる手軽さがある一方で、他人に知られてしまうと不正アクセスのリスクが高まるため、定期的な変更や複雑な組み合わせが推奨されます。

所有要素

所有要素は、ユーザーが実際に持っている物理的なデバイスやツールを利用する認証方法です。具体的には、スマートフォンやタブレット、ICカード、トークン、乱数表などが挙げられます。これらは所持していなければ認証できないため、知識要素よりも安全性が高いとされています。ただし、紛失や盗難のリスクがあるため、日常的な取り扱いには十分な注意が必要です。

生体要素

生体要素とは、顔や指紋、静脈、虹彩など、本人の身体的特徴を使った認証方法です。生体認証は偽装やなりすましが極めて困難で、利便性とセキュリティを両立できるというメリットがあります。近年では指紋認証や顔認証に対応したスマートフォンやパソコンの普及が進んでおり、金融機関のアプリやSNSをはじめ、さまざまな分野で生体認証の導入が進んでいます。

二段階認証が活用されているサービス例と設定方法

二段階認証は、セキュリティ強化のために多くのサービスで導入されています。そのひとつが、Googleアカウントです。Googleアカウントにログインする際には、IDとパスワードを入力した後、追加の認証が求められます。

特に推奨されているのが「パスキー」です。パスキーはパスワードに代わる新しい認証方法で、指紋認証や顔認証、画面ロックの解除などを利用して本人確認を行います。パスワードを覚える必要がなくなるため、利便性とセキュリティの両立が可能です。

パスキー以外の認証方法としては、メッセージによる認証があります。ログイン時にGoogleから届くメッセージをタップすることで、認証が完了する仕組みです。

Googleアカウントの二段階認証は、以下の手順で設定できます。

  • Googleアカウントを開く
  • ナビゲーションパネルから「セキュリティ」を選択する
  • 「Googleにログインする方法」から「2段階認証プロセスを有効にする」を選択する
  • 画面上の指示に従って設定完了

「NTT CPaaS」 認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供

二段階認証の主な種類

二段階認証はその名のとおり二段階で本人確認を行う手法を指し、どのような方法で認証するかはサービスによってさまざまです。二段階認証によく使われる方法として、次の6つがあります。

  • SMS認証
  • Eメールや音声通話での認証コード通知
  • アプリによる認証
  • セキュリティトークンによる認証
  • 生体認証
  • USB認証

それぞれの認証の種類について、以下で解説します。

SMS認証

SMS認証は、携帯電話番号宛てにメッセージを送信できるSMSを使った認証方法です。SMSで届いた認証コードを指定の画面に入力し、本人確認を行います。あらかじめ登録されている携帯電話番号宛てに認証コードを送信するため、IDやパスワードを本人以外が入力していたとしても認証コードは本人の携帯電話に届き、不正にログインされるリスクを減らせます。

SMSはスマートフォンとフィーチャーフォン(ガラケー)の両方に対応していて、特別な設定やアプリのダウンロードをしなくても利用できるため、幅広いユーザーに対応できる認証方法です。

SMS認証のメリット・デメリットや導入方法については、以下の記事で詳しく解説しています。ぜひ併せてご覧ください。

関連記事:SMS認証とは?本人確認の仕組みやメリット・デメリット、導入方法を紹介

Eメールや音声通話での認証コード通知

認証コードを通知する方法として、Eメールや音声通話を使うケースもあります。音声通話の場合は自動音声で認証コードが読み上げられ、Eメールの場合はあらかじめ登録されているメールアドレス宛に認証コードが送られます。

音声通話は本人の電話番号宛てに電話をかけるため、SMSと同様に不正アクセスのリスクが低いのが特徴です。一方Eメールの場合、メールアカウントのログイン情報が流出してしまっていると認証コードを盗み見られるリスクがあります。

アプリによる認証

認証専用のアプリを使って本人確認を行う方法です。アプリに一定時間だけ有効なパスワードやQRコードなどを生成し、それを使って認証を行います。あらかじめ認証用のアプリをダウンロードしておく必要があるため、ユーザー側に多少の手間をかけることになりますが、一定時間に一度しか使えない認証コードを発行するため不正ログインのリスクを下げられるのがメリットです。

アプリによる認証の代表として、「Google認証システム」があります。ほかにも、独自の認証アプリを提供するサービスが増えており、一般的な二段階認証のひとつとして活用が広がっています。

セキュリティトークンによる認証

セキュリティトークンとは、一定時間だけ有効なワンタイムパスワードを発行するための専用機器のことです。セキュリティトークンが発行したワンタイムパスワードが端末の画面に表示され、それを有効時間内に入力することで認証を行います。

セキュリティが高いため、暗号通貨やインターネットバンキングなどの取引に採用されている方法です。発行手数料が高いため、金融取引ほど強固なセキュリティが求められないサービスでは、セキュリティトークン以外の認証方法を採用しているケースが多いです。

生体認証

生体認証は、顔や指紋、静脈など人の身体を認証に用いる方法です。本人の顔や指紋が必要なためなりすましされるリスクが低く、ワンタイムパスワードや認証コードを入力する必要がなくユーザー側に手間がかからないというメリットがあります。

生体認証に対応した専用の機器が必要なため、以前はそれほど普及していませんでした。しかし、近年は顔認証や指紋認証に対応したスマートフォンやパソコンが多くなったことで、生体認証を採用するサービスも増えています。

USB認証

USB認証は、セキュリティキーを設定したUSBメモリをスマートフォンやパソコンに差し込むことで認証を行う方法です。あらかじめサービスのアカウントとUSBメモリを紐づけておくことで、そのUSBメモリを所持していることで本人であるとみなします。

非常に高いセキュリティを維持できる一方、導入費用が高くユーザーごとにUSBメモリを用意する必要があるなど、サービス提供側の負担が大きい認証方法です。そのため、一般的に広く普及しているとはいえません。

秘密の質問による認証

秘密の質問による認証は、ユーザーが事前に登録した「秘密の質問」とその回答を利用して本人確認を行う方法です。「母親の旧姓は?」「初めて飼ったペットの名前は?」といった本人しか知り得ない内容の質問を選び、回答をあらかじめ登録しておきます。

用意された質問の中から選択するだけでなく、ユーザー自身が自由に質問内容を設定できるサービスもあります。秘密の質問は比較的手軽に導入できる認証手段として広く活用されていますが、第三者に推測されにくい質問と回答を設定することが重要です。

二段階認証が求められる理由とは?二段階認証をしないリスク

二段階認証が求められている理由として、ITシステムの誤稼働や個人情報の漏えいなどインターネット上での犯罪への対策が挙げられます。オンラインサービスが日常的に使われるようになり、並行してWeb上での個人や企業を狙った犯罪事例が増えています。

ハッカーのサイバー攻撃によるITシステムの停止や情報漏えいといったトラブルが原因で、企業経営の根幹に悪影響が及ぶ可能性もあり、セキュリティ対策がより重要視されています。

従来はユーザーIDまたはメールアドレスと、自分で設定したパスワードによるログインがスタンダードでしたが、パスワードを知っていれば誰でもログインできてしまうため、セキュリティの強度としては不十分でした。そこで、より強固な方法として二段階認証に注目が集まっています。

近年はECサイトやインターネットバンキングなど、Webサイトで買い物や金融取引などが簡単にできるようになりました。このようなサービスは不正アクセスされたときの被害が大きいため、二段階認証の採用が求められます。

例えば、ECサイトに不正ログインされると、勝手に商品を購入されたりクレジットカードが不正利用されたりするリスクがあります。このような被害を防ぐために、ユーザーの個人情報を扱うサービスでは二段階認証が必要です。

二段階認証におけるスマホの重要性

SMSや音声通話、アプリや生体認証など、二段階認証ではスマートフォンの機能を活用するケースが多くあります。例えばSMS認証の場合、認証コードは携帯電話番号宛てに送信されるため、手元にスマートフォンがなければ認証コードが確認できずログインできません。

アプリによるQRコードの生成や、顔認証・指紋認証を活用する場合も同様に、スマートフォンが必要です。このように、二段階認証を採用するうえでスマートフォンはなくてはならない重要なツールとなっています。

二段階認証のメリット

ここでは、二段階認証による主な3つのメリットについて解説します。

不正ログインを防止できる

二段階認証を採用することで、アカウントの不正ログインを防止できます。ログイン用のIDやパスワードが第三者に誤って流出してしまっても、ログインには追加の情報が必要となり、アカウントののっとりや悪用を回避できる可能性が高まります。

二段階認証に指紋認証や顔認証といった生体認証を使うことで、本人確認をより厳格化することが可能です。

ログインがリアルタイムで通知されるため、早めに対応できる

一般的な二段階認証では、ログインする際にリアルタイムで通知が入るため、早い段階で不正ログインに気づいて対応できます。IDとパスワードとは別の認証方法では、SMSや音声通話、Eメール、トークンなどに認証コードが届き、それを使って認証を行います。

自分がログインしていない時に二段階認証を求める通知が届いた場合、第三者がログインを試みていると判断できます。すぐに現状を確認し、サービス運営者へ報告するとともに、IDやパスワードを予測しにくいものに変更することで不正ログインの防止につながります。

情報漏えいなどへの不安を減らすことができる

二段階認証によって、情報漏えいのリスクを軽減できます。個人情報などの機密情報の漏えいや盗難が起こると、企業は大きな悪影響を被る可能性があります。また、セキュリティを強固にするための早急な対応が必要となり、事業運営にも影響が及ぶでしょう。

自社のサービスや社内システムにて二段階認証を導入し、セキュリティを強化することで懸念を減らせるため、事業に集中できます。

二段階認証の注意点

二段階認証はサービスのセキュリティを向上させるうえで重要な仕組みですが、導入にあたっては以下の2点に注意が必要です。

  • セキュリティリスクがゼロになるわけではない
  • 手間やコストが必要となる
  • 端末をなくした際にログインできなくなる

ここでは、二段階認証の注意点について見ていきましょう。

セキュリティリスクがゼロになるわけではない

二段階認証はセキュリティを強固なものにしてくれますが、リスクがゼロになるわけではありません。例えば、正規のサイトとそっくりに作られた偽サイトに情報を入力させるフィッシング詐欺の場合、二段階認証で使用する情報をユーザーが偽サイトに入力してしまうと、不正ログインされるリスクがあります。

「二段階認証を導入すれば万全」というわけではなく、あらゆるリスクを想定してさまざまなセキュリティ対策を実施することが大切です。

手間やコストが必要となる

認証が二段階になることで、ログインの際にユーザーの手間が増える点にも注意が必要です。ログインに手間がかかると、ユーザーがストレスに感じるかもしれません。また、認証の仕組みを増やすにはコストもかかります。セキュリティトークンのように導入費用が高額な認証方法もあるため、コストも考慮しなければなりません。

さらに、スマートフォンの機種変更などの際には、アプリの再ダウンロードや二段階認証の再設定が必要になる場合があります。再設定がうまくいかないとログインできなくなる可能性があるため、事前の周知やサポート体制の整備が重要です。

ユーザーの手間や導入費用を考えると、扱う内容に関係なくすべてのサービスに二段階認証を導入するのは現実的ではないともいえます。

端末をなくした際にログインできなくなる

SMSや認証アプリを利用した二段階認証は、認証に必要な端末を紛失するとログインできなくなるというリスクがあります。これは、セキュリティトークンやUSBメモリなどの物理的な認証手段でも同様です。特にスマートフォンは持ち歩く頻度が高いため、紛失や盗難のリスクが常に伴います。

こうしたリスクに備えて、あらかじめ複数の認証手段を設定しておくと安心です。

二段階認証を活用した事例

金融機関向けの認証認可基盤サービスを提供するSBIデジトラスト株式会社では、同社が手掛ける認証サービス「Trust Idiom®(トラストイディオム)」にSMSを活用した二段階認証を採用しました。

本サービスでは、アカウントを作るときの認証として二段階認証を活用しています。第一段階の認証としてSMSで送信した認証コードの入力を求め、第二段階の認証には所持認証を行った端末による生体認証を行います。

また、アカウント作成後に同ソリューション内で銀行による本人確認のリクエストを行い、その結果をアカウントに紐付けるため、「端末を所持しているのか誰か」まで確認できるのが強みです。

このように、二段階認証によって強固なセキュリティが求められる金融機関向けの認証サービスを実現しています。

SMS認証サービスでSMS認証を実現

SMS認証による二段階認証は、「SMS認証サービス」を活用することで導入可能です。SMS認証サービスは、携帯電話番号宛にSMSを一斉・個別に送信できるサービスです。APIが提供されていれば、自社のシステムと連携させてSMS認証を導入することができます。

SMS認証サービスの選定時には、以下のポイントをチェックしましょう。

  • API連携
  • 接続方式
  • 対応キャリア
  • 遅延対策
  • 操作性・使いやすさ
  • サポート体制
  • セキュリティ

サービスの詳しい選び方については以下の記事で解説しているので、こちらもぜひ参考にしてください。

関連記事:SMS認証サービスの選び方・比較のポイントと活用事例を解説

二段階認証でセキュリティを強化

IDとパスワードだけでログイン認証を行う場合、情報が流出してしまうと第三者に不正アクセスされるリスクが高まります。こうしたリスクに備えるため、近年では二段階認証の導入が強く推奨されています。

二段階認証にはいくつかの方法がありますが、なかでも広く利用されているのがSMS認証です。携帯電話番号宛に認証コードを送信する仕組みのため、本人のスマートフォン以外の端末でログインすることが難しく、高いセキュリティを実現できます。

自社のシステムに二段階認証を導入したい場合は、SMS認証サービスの活用がおすすめです。NTTグループの「SMS認証サービス」がおすすめです。認証コード(ワンタイムパスワード)の生成、照合など認証API機能を無料提供。99%超の到達率で認証コードを確実に届けます。SMS認証を支える様々な機能を一括で導入でき、工数の大幅削減が可能です。

セキュリティ強化を検討している方は、ぜひお気軽にお問い合わせください。