二段階認証は、Webサービスやアプリにログインする際に2回にわけて認証を行うことです。なりすましや不正アクセスを防ぐ手段として、二段階認証は多くのサービスで採用されています。

本記事では、二段階認証の仕組みや主な認証の種類、導入するメリットや注意点などを解説します。二段階認証の主流であるSMS認証が使えるSMS送信サービスについても紹介しているので、ぜひチェックしてみてください。

目次

二段階認証とは

二段階認証とは、2つの段階を経て本人確認を行う手法です。Webサービスやアプリ、ソフトウェアなどにログインする際に、セキュリティコードの入力や秘密の質問など、ID・パスワードの入力とは別の本人確認方法を行うことで、正式にログインできる仕組みです。

二段階認証の主な目的はセキュリティ対策であり、なりすましによる不正ログイン防止に役立ちます。ログインには2段階の作業が必要となるため、面倒に感じる人もいるでしょう。ただ、同じブラウザを使う場合、一度二段階認証に成功していれば通常2回目以降は省略されるケースが多く、普段使うブラウザの操作では負担となりにくいでしょう。

ドコモの携帯端末など、二段階認証の強弱をユーザー自身で選択し、負担を軽減できるよう配慮されている方法もあります。

二段階認証と二要素認証との違い

二段階認証とよく似た言葉に「二要素認証」があります。いずれも2つの認証によって本人確認をする手法ですが、二段階認証は2回の認証を行うのに対し、二要素認証では異なる2つの要素を組み合わせます。

二要素認証では「認証の三要素」と呼ばれる下記3種類のうち、異なる2種類を用いる必要があります。各要素と代表例は以下の通りです。

• 知識要素：暗証番号、PINコード、秘密の質問
• 所有要素：スマホ・タブレット、ICカード、トークン、乱数表
• 生体要素：指紋、静脈、虹彩

一般的な二要素認証では、パスワードによる知識要素と、所有要素もしくは生体要素を組み合わせるものです。知識要素だけでなく「持っているもの」や「身体的特徴」の確認が必要になるため、セキュリティをより強固にすることが可能です。

二段階認証の主な種類

二段階認証はその名のとおり二段階で本人確認を行う手法を指し、どのような方法で認証するかはサービスによってさまざまです。二段階認証によく使われる方法として、次の6つがあります。

• SMS認証
• Eメールや音声通話での認証コード通知
• アプリによる認証
• セキュリティトークンによる認証
• 生体認証
• USB認証

それぞれの認証の種類について、以下で解説します。

SMS認証

SMS認証は、携帯電話番号宛てにメッセージを送信できるSMSを使った認証方法です。SMSで届いた認証コードを指定の画面に入力し、本人確認を行います。あらかじめ登録されている携帯電話番号宛てに認証コードを送信するため、IDやパスワードを本人以外が入力していたとしても認証コードは本人の携帯電話に届き、不正にログインされるリスクを減らせます。

SMSはスマートフォンとフィーチャーフォン（ガラケー）の両方に対応していて、特別な設定やアプリのダウンロードをしなくても利用できるため、幅広いユーザーに対応できる認証方法です。

Eメールや音声通話での認証コード通知

認証コードを通知する方法として、Eメールや音声通話を使うケースもあります。音声通話の場合は自動音声で認証コードが読み上げられ、Eメールの場合はあらかじめ登録されているメールアドレス宛に認証コードが送られます。

音声通話は本人の電話番号宛てに電話をかけるため、SMSと同様に不正アクセスのリスクが低いのが特徴です。一方Eメールの場合、メールアカウントのログイン情報が流出してしまっていると認証コードを盗み見られるリスクがあります。

アプリによる認証

認証専用のアプリを使って本人確認を行う方法です。アプリに一定時間だけ有効なパスワードやQRコードなどを生成し、それを使って認証を行います。あらかじめ認証用のアプリをダウンロードしておく必要があるため、ユーザー側に多少の手間をかけることになりますが、一定時間に一度しか使えない認証コードを発行するため不正ログインのリスクを下げられるのがメリットです。

アプリによる認証の代表として、「Google認証システム」があります。ほかにも、独自の認証アプリを提供するサービスが増えており、一般的な二段階認証のひとつとして活用が広がっています。

セキュリティトークンによる認証

セキュリティトークンとは、一定時間だけ有効なワンタイムパスワードを発行するための専用機器のことです。セキュリティトークンが発行したワンタイムパスワードが端末の画面に表示され、それを有効時間内に入力することで認証を行います。

セキュリティが高いため、暗号通貨やインターネットバンキングなどの取引に採用されている方法です。発行手数料が高いため、金融取引ほど強固なセキュリティが求められないサービスでは、セキュリティトークン以外の認証方法を採用しているケースが多いです。

生体認証

生体認証は、顔や指紋、静脈など人の身体を認証に用いる方法です。本人の顔や指紋が必要なためなりすましされるリスクが低く、ワンタイムパスワードや認証コードを入力する必要がなくユーザー側に手間がかからないというメリットがあります。

生体認証に対応した専用の機器が必要なため、以前はそれほど普及していませんでした。しかし、近年は顔認証や指紋認証に対応したスマートフォンやパソコンが多くなったことで、生体認証を採用するサービスも増えています。

USB認証

USB認証は、セキュリティキーを設定したUSBメモリをスマートフォンやパソコンに差し込むことで認証を行う方法です。あらかじめサービスのアカウントとUSBメモリを紐づけておくことで、そのUSBメモリを所持していることで本人であるとみなします。

非常に高いセキュリティを維持できる一方、導入費用が高くユーザーごとにUSBメモリを用意する必要があるなど、サービス提供側の負担が大きい認証方法です。そのため、一般的に広く普及しているとはいえません。

二段階認証が求められる理由とは？二段階認証をしないリスク

二段階認証が求められている理由として、ITシステムの誤稼働や個人情報の漏えいなどインターネット上での犯罪への対策が挙げられます。オンラインサービスが日常的に使われるようになり、並行してWeb上での個人や企業を狙った犯罪事例が増えています。

ハッカーのサイバー攻撃によるITシステムの停止や情報漏えいといったトラブルが原因で、企業経営の根幹に悪影響が及ぶ可能性もあり、セキュリティ対策がより重要視されています。

従来はユーザーIDまたはメールアドレスと、自分で設定したパスワードによるログインがスタンダードでしたが、パスワードを知っていれば誰でもログインできてしまうため、セキュリティの強度としては不十分でした。そこで、より強固な方法として二段階認証に注目が集まっています。

近年はECサイトやインターネットバンキングなど、Webサイトで買い物や金融取引などが簡単にできるようになりました。このようなサービスは不正アクセスされたときの被害が大きいため、二段階認証の採用が求められます。

例えば、ECサイトに不正ログインされると、勝手に商品を購入されたりクレジットカードが不正利用されたりするリスクがあります。このような被害を防ぐために、ユーザーの個人情報を扱うサービスでは二段階認証が必要です。

二段階認証におけるスマホの重要性

SMSや音声通話、アプリや生体認証など、二段階認証ではスマートフォンの機能を活用するケースが多くあります。例えばSMS認証の場合、認証コードは携帯電話番号宛てに送信されるため、手元にスマートフォンがなければ認証コードが確認できずログインできません。

アプリによるQRコードの生成や、顔認証・指紋認証を活用する場合も同様に、スマートフォンが必要です。このように、二段階認証を採用するうえでスマートフォンはなくてはならない重要なツールとなっています。

二段階認証のメリット

ここでは、二段階認証による主な3つのメリットについて解説します。

不正ログインを防止できる

二段階認証を採用することで、アカウントの不正ログインを防止できます。ログイン用のIDやパスワードが第三者に誤って流出してしまっても、ログインには追加の情報が必要となり、アカウントののっとりや悪用を回避できる可能性が高まります。

二段階認証に指紋認証や顔認証といった生体認証を使うことで、本人確認をより厳格化することが可能です。

ログインがリアルタイムで通知されるため、早めに対応できる

一般的な二段階認証では、ログインする際にリアルタイムで通知が入るため、早い段階で不正ログインに気づいて対応できます。IDとパスワードとは別の認証方法では、SMSや音声通話、Eメール、トークンなどに認証コードが届き、それを使って認証を行います。

自分がログインしていない時に二段階認証を求める通知が届いた場合、第三者がログインを試みていると判断できます。すぐに現状を確認し、サービス運営者へ報告するとともに、IDやパスワードを予測しにくいものに変更することで不正ログインの防止につながります。

情報漏えいなどへの不安を減らすことができる

二段階認証によって、情報漏えいのリスクを軽減できます。個人情報などの機密情報の漏えいや盗難が起こると、企業は大きな悪影響を被る可能性があります。また、セキュリティを強固にするための早急な対応が必要となり、事業運営にも影響が及ぶでしょう。

自社のサービスや社内システムにて二段階認証を導入し、セキュリティを強化することで懸念を減らせるため、事業に集中できます。

二段階認証の注意点

二段階認証はサービスのセキュリティを向上させるうえで重要な仕組みですが、導入にあたっては以下の2点に注意が必要です。

• セキュリティリスクがゼロになるわけではない
• 手間やコストが必要となる

ここでは、二段階認証の注意点について見ていきましょう。

セキュリティリスクがゼロになるわけではない

二段階認証はセキュリティを強固なものにしてくれますが、リスクがゼロになるわけではありません。例えば、正規のサイトとそっくりに作られた偽サイトに情報を入力させるフィッシング詐欺の場合、二段階認証で使用する情報をユーザーが偽サイトに入力してしまうと、不正ログインされるリスクがあります。

「二段階認証を導入すれば万全」というわけではなく、あらゆるリスクを想定してさまざまなセキュリティ対策を実施することが大切です。

手間やコストが必要となる

認証が二段階になることで、ログインの際にユーザーの手間が増える点にも注意が必要です。ログインに手間がかかると、ユーザーがストレスに感じるかもしれません。また、認証の仕組みを増やすにはコストもかかります。セキュリティトークンのように導入費用が高額な認証方法もあるため、コストも考慮しなければなりません。

ユーザーの手間や導入費用を考えると、扱う内容に関係なくすべてのサービスに二段階認証を導入するのは現実的ではないともいえます。

二段階認証を活用した事例

金融機関向けの認証認可基盤サービスを提供するSBIデジトラスト株式会社では、同社が手掛ける認証サービス「Trust Idiom®（トラストイディオム）」にSMSを活用した二段階認証を採用しました。

本サービスでは、アカウントを作るときの認証として二段階認証を活用しています。第一段階の認証としてSMSで送信した認証コードの入力を求め、第二段階の認証には所持認証を行った端末による生体認証を行います。

また、アカウント作成後に同ソリューション内で銀行による本人確認のリクエストを行い、その結果をアカウントに紐付けるため、「端末を所持しているのか誰か」まで確認できるのが強みです。

このように、二段階認証によって強固なセキュリティが求められる金融機関向けの認証サービスを実現しています。

SMS送信サービスでSMS認証を実現

SMS認証による二段階認証は、「SMS送信サービス」を活用することで導入可能です。SMS送信サービスは、携帯電話番号宛にSMSを一斉・個別に送信できるサービスです。APIが提供されていれば、自社のシステムと連携させてSMS認証を導入することができます。

NTTコム オンラインが提供する「空電プッシュ」は、高セキュリティかつ、圧倒的な到達率を誇るSMS送信サービスです。

二段階認証の導入には空電プッシュをぜひご検討ください。

二段階認証でセキュリティを強化

二段階認証は、第三者のサイバー攻撃によるシステム停止や情報漏えいといったネット犯罪を防ぐために重要です。Webサービスやアプリにログイン時に、より強固なセキュリティを設けることで、なりすましや悪用を回避できます。

企業が自社サービスや社内システムに取り入れる二段階認証としては、SMS認証が一般的です。NTTコム オンラインが提供する「空電プッシュ」では、自社システムとのAPI連携により、SMS認証のスムーズな導入を実現します。下記よりお気軽にお問い合わせください。