【生体認証入門】セキュリティ強化のための2段階認証
- 生体認証
公開日 2024.3.25
更新日 2024.3.25
先月、とあるモバイル決済アプリが不正利用され、被害は5,500万円に及んだというニュースがありました。「うちのサービスのセキュリティは大丈夫なのか?」と思われた企業担当の方は多いのではないでしょうか?
さらに、急速にキャッシュレス決済が広がりをみせるなか、オンライン上の決済サービスには不正アクセス・不正利用等のターゲットにされやすい側面があります。利用者が増えていく分、それらのセキュリティの穴を突くような行為の多発は避けられません。
報道によると、生年月日と電話番号、メールアドレスがわかればパスワードを変更でき、パスワード再設定案内の送信先メールアドレスも自由に指定できたことが不正に繋がったケースがあるようです。また、利用登録時や決済時の「2段階認証」も求められなかったと報じられています。
安全性を保つため、ログインにおけるセキュリティ担保のための標準となりつつある2段階認証と、それに生体認証を用いる場合のメリット・デメリットについて解説します。
目次
2段階認証とは?
2段階認証とは、その名のとおり、2段階で認証することを意味しています。
たとえば、1段階目ではパスワード認証を行い、2段階目ではワンタイムパスワード認証※1や、SMS認証※2を行うケースなどです。この場合、1段階目のパスワードが漏洩してしまっても、もう1段階の認証を突破しなければならないため、セキュリティ強化の方法として、標準的に用いられています。
2段階認証の操作イメージ
どういった認証方法を2段階に組み込むかが重要になってきますが、それらは「認証の3要素」を組み合わせることで実現します。
1 ワンタイムパスワード認証とは?
一度きりしか使えない、使い捨てのパスワードを生成させ、それによる認証を行うこと。認証のたびに違うパスワードが必要となる。パスワードの生成・通知方法としては、トークンというデバイスを使用する方法や、メール受信する方法、スマホアプリ内の機能を使用する方法や、電話で聞き取る方法などがある
2 SMS認証とは?
スマートフォン・携帯電話のショートメッセージサービスによって、利用者所有のそれらにコード等を送信し、認証を行うこと。ワンタイムパスワードの一形態
認証の3要素
認証に用いられる要素は以下の3つに大きく分けることができます。
| 要素 | 説明 | 例 |
|---|---|---|
| 知識情報 | 本人だけが知っている情報 | パスワード、生年月日、暗証番号、秘密の質問など |
| 所持情報 | 本人が所持している情報 | スマホのアプリ、トークンで通知されるワンタイムパスワードICカードなど |
| 生体情報 | 個人によって異なる身体的特徴の情報 | 顔、虹彩、耳介、声紋、掌形、指紋など |
2段階認証ではこれらの組み合わせで、2回に分けて認証を行います。
Webサービスの認証における2段階認証の組み合わせ例
もちろん3要素のうち、同一要素を組み合わせるよりも、異なる種類の認証を組み合わせたほうが、セキュリティが高くなります。というのも、パスワード等の知識・情報認証を2回行う場合、両方の情報が漏洩してしまっては手の打ちようがありません。
一方で、パスワード認証と、所有スマートフォンへのSMS認証の組み合わせでは、パスワードが漏洩されても、スマートフォンが奪われなければ、不正利用を防ぐことができます。
生体認証との組み合わせにいたっては、自身の生体情報を盗まれない限り、高いセキュリティが保たれることになります。指紋や手のひらの静脈、声や顔など、生体情報を2つ以上組み合わせる認証方法においては、なりすましはほぼ困難といえるでしょう。
2段階認証に生体認証を取り入れるメリット・デメリット
認証の3要素のうち、セキュリティを強くするためには生体認証が有効となりますが、その具体的なメリットやデメリットをみていきましょう。
事業者側のメリット
- セキュリティが強化される
- コストが少なくて済む
第一に、認証の対象が生体情報のため、複製されづらく、強固なセキュリティであることが最大のメリットです。指紋認証は突破されやすい、双子だと顔認証されてしまう、といったケースもあるようですが、パスワード漏洩のように不特定多数の利用者が一度に狙われる事態にはなりづらいといえます。
二つ目として、コストが軽減されるメリットがあります。ワンタイムパスワード認証では、ワンタイムパスワードを発生させるためのデバイスを用意する場合、それに対してコストがかかってきます。SMS認証でもショートメッセージの送信ごとに課金されます。生体認証では、デバイス料や送信ごとの課金はされないため、コストの軽減が見込めるのです。
利用者側のメリット
- セキュリティが強化される
- UX(ユーザーエクスペリエンス)の向上
事業者側と同様に、セキュリティの強化は利用者側にも大きなメリットとなります。生体情報はよほど標的として絞り込んで狙われない限り、なりすましされづらいため、不正アクセス等の被害にあうリスクも低くなります。
また、ワンタイムパスワードやSMSの確認および入力等の煩雑な作業が不要になるのもメリットのひとつといえます。
事業者側・利用者側、双方のデメリット
- 操作環境によって認証が制限されることがある
- 生体情報が経年劣化する可能性がゼロではない
汚れた指での指紋認証や、暗い場所での顔認証、周囲が騒がしい中での声認証では、生体認証のための環境が整わず、認証が行われない場合があります。汚れのついていない、濡れていない指、明るい場所や騒音が入らない場所など、一定の条件を満たさなければ操作することができません。
もう1点、デメリットとして挙げられるのが、生体そのものの経年変化です。利用者が年をとって、顔にしわができた、声が変わった場合に、正しく認証が行われるのかどうか――加齢による変化、ケガや病気などによる部位の欠損・変化などがある場合、認証できなくなる可能性は否めません。
生体認証技術の発展からさほど年月が経っていないため、経年変化における実例が積みあがっていない点では、デメリットのひとつといえるかもしれません。
こういったリスクを避けるべく、ポラリファイでは、利用者の生体情報を所有のスマートフォンと紐づける工夫をしています。スマートフォンの機種変更時には生体情報の再登録が必要な仕組みとし、生体情報を最新情報に書き換えるようにしています。
スマートフォンと生体情報を紐づけることで、「モノ」と「生体」の2つの要素を同時に認証しますので、認証の強度は格段に高まります。
生体認証を導入した際のメリットとデメリット
ID·パスワードのセキュリティリスクをカバーする生体認証
急速にキャッシュレス決済が広がりをみせるなか、オンライン上のサービスは不正アクセス・不正利用等のターゲットにされやすい側面があります。利用者が増えていく分、それらのセキュリティの穴を突くような行為の多発は避けられません。
「2段階認証」は、セキュリティを強化するための手段として標準的に用いられる認証方法です。異なる種類の認証を組み合わせることで、なりすましや認証情報の不正利用に対抗し、セキュリティを高めることができます。
ここに生体認証を組み合わせると、自身の生体情報を盗まれない限り(なかなか盗まれづらいものでもあります)、高いセキュリティを保つことができます。
指紋や手のひらの静脈、声や顔など、生体情報を2つ以上組み合わせる認証方法においては、なりすましはほぼ困難といえるでしょう。
生体認証にご興味を持たれている方、また、ポラリファイの生体認証サービスについてお知りになりたい方は、お気軽にお問い合わせください。
