二段階認証とは?二要素認証との違いやTwilioAPIで簡単導入・実装できる方法をご紹介

    脆弱性をついた事故が度々発生し、セキュリティー強化としての認証機能のニーズが高まっています

    なぜ認証機能のニーズが高まっているのか?

    「信用の低下」という甚大なダメージを企業にもたらしかねない情報漏えい事故

    その多くは、不正ログインやなりすましなどの人的要因から発生している事が大半です。こうしたリスクを限りなくゼロに近づけるため、企業がセキュリティ対策の一環として力を入れているのが「認証強化」です。

    認証機能のニーズが高まる3つの理由

    1. 情報そのものの持つ価値が高まっていること

    2. 情報セキュリティインシデントが大規模化・高度化していること

    3. より広範囲で情報漏えいのリスクが生じるようになったこと

    インターネットや情報通信技術の進化・発展にともない、情報セキュリティの重要性は日に日に高まっています。「本人確認」という観点からも、認証方法への理解を深めることで、セキュリティレベルを強化するというプロセスは非常に重要です。

    「情報そのものが持つ価値が高まっていること」の最も顕著な例は、個人情報です。

    個人情報を不正に入手した業者がさらに第三者へ個人情報を売却する――
    というケースが数多く見られます。また、ネット銀行やネット証券の普及によって、財産を脅かされる可能性が大きくなりました。

    さらに、SNSの普及によってこれまでより広い範囲で情報漏えいのリスクが生じるようになった点も見逃せません。

    SNSユーザーにとって身近な脅威「なりすまし」

    「IDとパスワードを入手した第三者が不正ログインによりSNSアカウントを乗っ取るケース」と「自分になりすました第三者がSNSアカウントを勝手に作るケース」があり、どちらの場合も実際に金銭的被害が発生しています。こうしたトラブルを予防する上では、認証強化などのセキュリティ対策が欠かせません。

    「認証」を成立させる3つの要素とは

    認証とは

    SNSやインターネットバンキング、その他クラウドサービスなどのインターネットサービスへログインしようとしているユーザーが本人かどうかを確認する作業もしくは手段のことです。
    認証方法には主に3種類あります。

    1.知識認証

    「知識による認証(知識認証)」とは、本人しか知り得ない知識や情報を入力した者を本人とみなす方法です。

    最もメジャーな例として、パスワードの入力、事前にユーザーが登録した質問と回答の組み合わせなどです。

    2.所有物認証

    所有物による認証(所有物認証)」は本人固有の持ち物を持って本人と認定する方法です。

    代表例は、IDカード、電話番号へのSMSメッセージ送信などがあります。銀行振込に用いられるワンタイムパスワードやGoogle社が提供するスマートフォンアプリGoogle Authenticatorなどもこれに該当します。

    3.生体認証

    「生体認証(身体的に特徴による認証)」は本人の身体的特徴や行動的特徴を持って本人を確認する方法です。

    代表例は、指紋、顔の輪郭、虹彩、網膜、静脈など「生体認証」と呼ばれるようなものや、署名などその人の行動的な特徴で判別するケースなどがあります。

    どれが最も優れているか…というものではなく、それぞれの認証にメリットとデメリットがあります。

    例えば「①知識による認証」は漏洩した場合、第三者に使われてしまいます。また、「②所有物による認証」も所有物が盗難に遭う恐れがあります。

    「③身体的特徴による認証」は第三者が利用しにくい点はメリットであるものの、仕組みの精度から本人が認証を拒否されてしまうこともよくあります。

    「二段階認証」と「二要素認証」の違い

    二段階認証のイメージ

    二段階認証

    同じ種類の認証方法を2回に分けて行うものです。
    ログインIDやメールアドレス+パスワードは「二段階認証」になります。

    二要素認証のイメージ

    二要素認証

    認証を成立させるための3要素(知識認証・所有物認証・生体認証)の内の2つを使って認証する方法です。
    「ログインIDやメールアドレス」+「パスワード」の認証に加え、ワンタイムパスワードトークンなどを使って認証をする方法になります。

    二要素認証の最大のメリット

    二要素認証のイメージ

    一方の情報が漏洩・流出してもセキュリティが確保される点です。

    2種類の情報は素性や性質が異なるため、同時に両方の情報を窃取することは極めて困難と言えます。

    二要素認証で用いられる代表的な方法には、以下のようなものがあります

    1.トークンによるパスワード発行

    銀行振込などでよく用いられるのがトークンによるパスワード発行です。トークンはもともと「証拠」を意味する言葉ですが、パスワード発行の文脈においては「この世に1つしか存在しない固有のパスワード生成器」を意味します。このトークンで一時的に表示されたパスワードを入力することによって、本人であることが確認されます。

    2.スマホアプリによるパスワード発行

    最近では、スマホアプリによってパスワードを発行することができるようになっています。スマホアプリをスマートフォンにインストールすると、スマートフォン自体がトークンになるわけです。そしてこのスマホアプリと認証を強化したいサービスを連携することで、簡単に二要素認証を実現できます。

    Twilioを利用した認証機能を実装する2つの方法

    コミュニケーションチャネルをWebのAPIとして提供しているTwilioならパスコードをSMSや音声通話によって通知可能です。

    自社の認証システムを持っている場合、Programmble SMSもしくはVoiceがご利用いただけます(ご利用には審査が必要です)。自社の認証システムを持っていない場合、Programmable SMSもしくはVoiceとTwilio Verifyをご用意しております。パスコード認証に特化したAPI「Twilio Verify」は1認証あたり10円以下(SMS送信料、電話通話料は別途費用がかかります)
    自社の認証システムを持っている場合。Programmable SMSはプログラムで制御し、簡単なコードで大量・一斉送信可能。日本国内のみならず世界中に送信可能です。Programmable Voiceはプログラムで制御し、簡単なコードで電話の発信が可能。同時に複数を処理する必要がある認証においても、複数通話が可能。SMSが届かなかった場合の対策としてご利用いただけます。
    自社の認証システムを持っていない場合。Twilio VerifyはSMSや電話を利用した認証機能を簡単なコードで実装可能です。
    • お役立ち情報
    • イベント情報
    • 相談会申込
    • 導入事例