1.パスワード認証が抱える課題
インターネット上のサービスを使ううえで、欠かせないのが認証である。
認証とは、相手が本人かどうかを確認することである。認証がなかったり、正しく実行できなかった場合、他人に成りすましてサービスを使うことができる。そして、成りすましに遭った人物やサービスの資産が侵害されるなどの多大な被害に直結する。
認証として最も普及している方式はパスワードである。パスワードによる認証が使い続けられているのは、以下のような利点があるためである。
・特別なハードウエアを必要としないため実装や導入のコストが低く、展開も容易。
・パスワードの桁数を増やすなどの工夫で利用者がセキュリティを高めることが可能。
世の中にはさまざまな認証方式や認証製品があるが、パスワード認証は総合的に使い勝手がよく、その優位性はまだ崩れているとは言えない。しかし、実際にパスワード認証が破られるケースは多い。これは、パスワード認証には利用者と運営者とでセキュリティを保つ責任を分かち合っている面があり、利用者が脆弱なパスワードをつけることに対して、システム側でできることが限られているためである。
責任の一端を担うシステム側では、脆弱性を排除したうえで、ある程度長いパスワードを利用者が設定できるようにする必要がある。一方、責任のもう一端を担う利用者側では、十分に安全なパスワードを作り、パスワードの使いまわしを絶対にしないことが求められる。そして、システム側としても利用者によりよいパスワードをつけるよう啓発する必要はある。
とはいうものの、利用者に対してそこまで期待するのは、現実問題として厳しい。やや古い資料ではあるが、IPAが2014年8月5日に発表した『オンライン本人認証方式の実態調査報告書』(https://www.ipa.go.jp/security/fy26/reports/ninsho/)では、調査対象となったインターネットサービス利用者のうち、安全なパスワードが何かを知っているのは70%なのに対して、実際に安全なパスワードを設定しているのは13%という結果が出ている。また、パスワードを使いまわしている割合も、サイトにより異なるが、41.8~55.7%に達している。
このような状況のなか、サービスの認証を強化するために最近よく用いられるようになったのが、ここで解説する多要素認証である。
この先は日経クロステック Active会員の登録が必要です
日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。