二要素認証とは?

2要素認証(2FA)は、オンラインサービスを使用している人や企業リソースにアクセスしている人のセキュリティを向上させることができます。 基本的には、アクセスが許可される前に、ユーザーが本人であることを認証または証明するために、2つの異なるタイプの情報を提供する必要があります。

リモートアクセスのデモ

二要素認証(2FA)とは何ですか?

なぜ二要素認証が必要なのですか?

従来のパスワードベースの認証システムは、フィッシング攻撃や脆弱なパスワードや再利用されたパスワードの使用に対して脆弱です。 多くのシステムはインターネット上のどこからでもアクセスできるため、パスワードが侵害されると、攻撃者がユーザー アカウントに不正にアクセスできるようになります。

2要素認証は、2段階認証とも呼ばれ、ユーザーアカウントの保護レイヤーを追加するように設計されています。 認証にパスワードのみを要求する代わりに、2FA対応アカウントにログインするには、ユーザーが追加の要素を提示する必要があります。

認証要素とは

認証要素は、次の 3 つのカテゴリに分類されます。

 

  • あなたが知っていること: 「あなたが知っていること」である要素の例としては、パスワードやセキュリティの質問への回答(パスワードのリセットに使用されるものなど)があります。
  • あなたが持っているもの: あなたが持っているものは、スマートフォンや、スマートカードやYubikeyなどの物理的な認証デバイスかもしれません。 これらのデバイスは、認証ページに入力できるワンタイムアクセスコードを生成または受信できます。
  • あなたが何であるか: 「あなたらしさ」の要素は、生体認証を使用します。 たとえば、ユーザーが何かにアクセスするために、指紋、声紋、または虹彩スキャンを受ける必要がある場合があります。

 

理想的には、2FAシステムには2つの異なるタイプの要素を組み込む必要があります。 そうしないと、2 つの "知っていること" の要素など、同じ要素を 2 つ使用すると、両方が一度に侵害されるリスクがあります。 たとえば、フィッシング攻撃では 2 つの知識ベースの要素 (パスワードとセキュリティの質問など) が侵害される可能性があり、2 つの物理的な要素 (スマートフォンと USB キーなど) がスリによって盗まれる可能性があります。

 

一般的な組み合わせは、知識ベースと物理的要因を使用することです。 たとえば、ユーザーはパスワードを入力し、スマートカードや USB キーをコンピューターに接続したり、スマートフォンの確認ボタンをタップしたりする必要がある場合があります。 生体認証要素は、作成が難しく(スマートフォンの指紋や顔スキャナーは何度も敗北しています)、侵害されても変更が難しいため、あまり使用されていません。 言い換えれば、パスワードを変更するのは簡単ですが、指紋や網膜を変更するのははるかに困難です。

二要素認証(2FA)はどのように機能しますか?

2FAは、複数の入力要求を必要とするログインページをユーザーに提示することで機能します。 通常、これはパスワードとワンタイムアクセスコードの要求です。

 

このワンタイムアクセスコードは、さまざまな方法で取得できます。 一般的なオプションの 1 つは、SMS または電子メールとして送信することです。 ただし、このアプローチは、傍受攻撃や SIMスワッピング攻撃に対して脆弱であるため、安全性が低くなります。

 

より安全なオプションは、多くのスマートフォンアプリで使用されているような時間ベースのワンタイムパスワード(TOTP)アルゴリズムです。 セットアップ中、認証デバイス(スマートフォン、USBキーなど)は秘密のランダムシード値を共有します。 その後、サーバーと認証デバイスの両方が共通のアルゴリズムを使用して、このシードを時間の経過とともに変換します。 これは、どの時点でも、この値のバージョンに同意していることを意味します。

 

ユーザーがサービスにログインしようとすると、認証デバイスから提供された現在の値がサイトに提供され、サイトはそれを現在の値と比較し、一致する場合は接続を承認します。 しかし、可能な値のスペースは十分に大きいため、攻撃者が正しいコードを推測する可能性は極めて低いです。

二要素認証(2FA)の設定方法

近年、二要素認証の使用が劇的に高まっています。 その結果、多くの主要なサイトと、機密データを含むおよび処理するほとんどのサイトには、多要素認証のサポートが組み込まれています。 場合によっては、サイトが多要素認証の使用をプッシュし、プロセスをユーザーにガイドするポップアップを表示することがあります。 また、アカウントまたはプロファイルの設定ページにアクセスして2FAを設定する必要がある場合もあります。

 

2FAの設定の詳細は、使用するタイプによって異なります。 SMSまたはメールベースの2FAの場合、唯一の設定要件は、コードを送信するための電話番号またはメールアドレスを提供することです。 TOTPベースの2FAの場合、認証アプリ(AuthyやGoogle Authenticatorなど)のインストールまたはUSBベースのセキュリティキーの使用が必要になる場合があります。

企業向け2FA

二要素認証は、消費者にとって有益なだけではありません。 企業リソースへのアクセスに2FAを有効にすると、特にこの リモートワークの世界では、ユーザーパスワードの漏洩による影響から保護するのに役立ちます。

 

チェック・ポイントは、組織全体に2FAを導入するための簡単なソリューションを提供します。 これには、セキュア なリモート アクセスと セキュアアクセスサービスエッジ (SASE)ソリューションのサポートが含まれます。 チェック・ポイントのソリューションを実際にご覧になりたい方は、 デモをご依頼ください。

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK