Select Language : English 日本語

NTTコミュニケーションズ

法人のお客さま: English / 日本語
個人のお客さま: English / 日本語

NTT Ltd.

グローバルサイト English

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録

IDとパスワードだけでは不十分認証のスタンダードは「多要素認証」へ

印刷

社内システムやグループウェアへのログイン、PCへのリモートアクセスなど、ビジネスシーンのさまざまな局面において個人認証が使われるようになりました。一方で、情報漏えい事件が頻発し、個人情報が大量に流出している昨今、IDとパスワードのみに頼った認証は、セキュリティの強度という意味では不十分といえます。こうした課題に対応するため、近年普及が進んでいるのが「多要素認証」です。仕組みと効果について解説します。

危険な“IDとパスワードの使い回し”

インターネットを利用している人の数は、世界中で約40億人といわれています。インターネットのサービスを利用する際の認証は、40億人の中の特定の個人であることを証明することが求められます。

現在、個人を証明する手法の中で、最も一般的に使われているものが、IDとパスワードの組み合わせです。また、アカウントのIDは多くの場合メールアドレスが使用されます。例えばECサイトでは、IDとパスワードでログインすることで、過去の購入履歴を確認でき、都度クレジットカード情報や住所などを入力することなく買い物ができます。これは便利な反面、IDとパスワードが外部に漏れてしまうと、第三者が本人になりすまして買い物をされるリスクがあります。もし不正にログインした第三者が、IDとパスワード、連絡先まで変更してしまうと、本人であっても対応が困難になります。

そして近年では、こうしたアカウントの乗っ取りが増えています。多くの人が同じID(メールアドレス)とパスワードの組み合わせを使い回しているからです。そのため、IDとパスワードの組み合わせを1つ入手すれば、高い確率で複数のサービスにログインできるようになります。現在はインターネットユーザーの多くがグループウェアやECサイトを使っていますので、それらすべてが悪用されれば被害は甚大なものになるでしょう。

最近のサイバー攻撃では、アカウントを乗っ取っても行うのは情報収集のみにとどめるケースもあります。メールを盗み見したり、その人になりすましたSNSアカウントを作成したりすることで、フィッシング詐欺などの次なる攻撃を準備するためです。例えば、Facebookで知らない人から友達申請があった場合、承認する人はあまりいないでしょうが、これが知り合いであれば信じてしまうケースも多いでしょう。このように、サイバー攻撃者は収集した情報をもとに、さまざまな攻撃を繰り出すわけです。

この記事のキーワード

関連サービス