最新のセキュリティ事情
また、IPAでは2段階認証の積極的な利用も推奨する。ログインの際にパスワードのほかに、もうひとつ認証を加えることで、よりセキュリティを高めるのが2段階認証だ。これなら、ひとつ目のパスワードを破られても、もうひとつの認証が通らないとログインすることはできない。そのなかで、もっとも代表的なのがワンタイムパスワードと呼ばれる1回限りの使い捨てパスワードだ。
「ひとつのパスワードだけに依存しているから危険なんです。それならば、もうひとつ別のパスワードを用意しましょうというのが、ワンタイムパスワードであり、2段階認証とか2要素認証と呼ばれるやり方です。ワンタイムパスワードというのは、1分間だけ有効なパスワードを、その人独自のデバイスに表示するものです。たとえば銀行などでは、トークンと呼ばれる電卓みたいなデバイスを任意で配布、ボタンを押すとその人独自の数字が1分間だけ表示されます。その数字を1分以内に入力すれば、2つのパスワードを使用することになり、より安全になるということです」(前出・三上氏)
ワンタイムパスワードは、銀行のオンライン取引などで推奨されているので、すでに利用しているユーザーも多いだろう。銀行といえば、ATM(現金自動預払機)で使うキャッシュカードと数字4桁の暗証番号がおなじみだが、実はこの組み合わせがすでに2段階かつ2要素認証の走りだ。利用者本人が所持するキャッシュカードに加え、利用者が任意に設定し、本人しか知り得ない暗証番号を使っているからだ。ICキャッシュカードに指紋や掌静脈を読み込ませれば、さらに安全な3要素認証となる。3要素とは下記の3つだ。
・本人だけが知っていること(ID、パスワード、暗証番号)
・本人だけが所有しているもの(キャッシュカード、クレジットカード、スマホ、トークン)
・本人自身の特性(指紋、掌の静脈、眼の虹彩、顔、声、筆跡など)
上記3つのうち2つの要素を使うのが2要素認証、3つすべてなら3要素認証となる。
「ネットサービスの世界ではすでに2段階認証を取り入れていますが、利用するかしないかはユーザーの任意です。ツイッターやフェイスブックの乗っ取りとか、芸能人のiCloudの乗っ取りが起きるのは、2段階認証をやっていない人が多いからです。今後は生体認証が主流になってきます。指紋や目の虹彩、顔や声紋などを使うものです。
ただし、生体認証も完璧ではありません。たとえばアイフォンの指紋認証は、グミで突破できるといわれています。顔認証も暗いところや、起き抜けの顔だと認証しにくいというデメリットがあります。ほかの端末の顔認証は写真でもいけるといわれています。いま理想とされているのは、2段階認証の仕組みにさらに生体認証を組み合わせた多要素認証です。
ITの世界では認証がもっともアナログな状態なので、早くもっとスマートでかつ安全な方法に移りたいところです。認証規格の統一化の動きもあります。世界の大手ITが集まる団体があって、生体認証で安全な仕組みをつくろうとしています。それはFIDO2.0という仕組みですが、アップルが入っていないようなので、まだどうなるかわかりません」(同)
日進月歩のITの世界。不正を働く側も次々に新しい技術で攻撃してくる。ネットを利用する際には、どのようにリスクを管理していくべきか、常にアンテナを張っていかなければならないだろう。
(文=兜森衛)