初出:2022/04/21
改稿:2023/08/13
あれ、先生方、どうしたんですか、サングラスなんかしちゃって・・・もしかしてレイバン?
いやいや、普通に買ったものだから。
目が多いとこういう時に面倒臭いんだよね・・・
はあ、それはそうでしょうけど、でも、今日って曇ってますよね?
それはだな、やはりコレの出番だからだろうな。バルス!
ぎゃあああああ、目が、目がぁ〜〜〜!
おお、良いリアクション。でも、MIBの方も捨てがたくないですかね。
そこは次回以降の検討課題だな。
(ジッタンバッタン)
※POKA先生謹製のバルス装置は本当に強力なので目に入れてはいけません。マジで。
![天空の城ラピュタ [DVD]](https://m.media-amazon.com/images/I/51zD6K22q-L._SL160_.jpg)
セキュリティ講座・二段階認証の活用法
どうも。Jokerです。対談動画解説の記事をお送りしていきます。本日は「二段階認証」について。まずはぜひ、動画をご覧ください。
動画でも頻繁に「ピンと来ない」と言っておりますが、言葉だけはよく聞くのに、いまいちよく分かっていない、という方も多いと思います。
セキュリティ対策として導入しているサービスを提供している企業側がなんたるかをサッパリ分かっておらず、トンチンカンな事をしていることもしばしば。
そんな訳で今回は「二段階認証」をわかりやすく解説しようと思います。
SNSのアカウント乗っ取り被害
動画の導入で触れたTwitter、ひいてはSNS全般の「アカウント乗っ取り」は詐欺やフィッシングや、少し前に話題になった凍結屋などに利用されたりと、ロクな事がありません。
動画公開時直近の話題であれば、故・内海桂子さんのTwitterアカウントが乗っ取られ、ツイートを全削除された上に業者に利用されるという事件がありました。
「墓荒らし」という声はまさしくその通りだと思います。
というわけで、乗っ取り被害に遭わないためにセキュリティを強化しよう、という話になる訳です。
二段階認証、二要素認証、多要素認証
さて、今回の本題「二段階認証」についてです。二段階認証とは、認証を二段階に分けて行う事を指します。
一方で、セキュリティ対策として効果的なのは「二要素認証」です。これはただ二段階に分けるのではなく、異なる要素を使って認証をしましょう、というもの。
要素の数が増えれば「多要素認証」となります。
と、これだけだと直感的な理解はしづらいですね。サービスの提供側もこの辺を理解してなくて、パスワード認証をただ二回させてるところ(これは二要素認証ではない)とかあるわけでして。
そもそも「要素」ってなんやねん、となったところで「認証の三要素」についてお話します。
認証の三要素
認証の三要素は「知識」「所有物」「生体」の三つです。それぞれ見ていきましょう。
知識要素
「知識」は「その人だけが知っている情報」の事を指します。パスワードや暗証番号がそうです。一般的な認証方法として昔から広く使われていますね。
これは非常にわかりやすいと思います。
所有物要素
続いて「所有物」。その人が持っているものを通して認証するというものですね。これは結構、幅広いです。
認証しようとすると事前に登録した電話番号当てにSMSが届いて、そこに書いてあるパスコードを入力しろとか、銀行でオンラインで手続きする時の、スマホや専用のトークンで生成されるワンタイムパスワードが該当します。
というか所有物ですんで、端的に言えば「家の鍵」なんかも所有物要素に該当します。印鑑もそうですし、社内に入るためのICチップ付き社員証とか、身分証明書なんかもそうです。
アナログな手続きでも本人確認のために身分証を提示しろ、というのも「認証」に当たる訳です。
電子的な手続きの場合、ここで更にパスワードを求められたりするので、これも立派な「二要素認証」ですね。
生体要素
最後は「生体」。これは指紋や静脈、虹彩に顔とか、つまりその人の身体的な情報を使った認証方法ですね。iPhoneのTouch IDとかFace IDがわかりやすいかと思います。
ちなみに動画中でくられ先生がマスク云々言っておりましたが、一応アップデートでFace IDはマスク対応になったようです。
まあどっちにしてもお面だと認証されないだろうけどな!(笑)
セキュリティキー
ちなみに所有物要素としては、セキュリティキーというものがあります。私は必要ならスマホで済ませているので使っていませんが、くられ先生はイチオシのものですね。
USBポートに刺したり、NFC対応であればスマホにかざす事で認証を済ませられるというものです。
本人確認を別要素で行う事がポイント
というわけで、二段階認証だと「知識」→「知識」、例えばパスワード認証を二回繰り返すとかも含んでしまうわけですが、二要素認証の場合はこの三要素のうち二つを組み合わせて認証しましょうという話になります。
本人確認を多重で行う事で安全性を高めているということ。パスワードが漏れても、本人の持ち物を経由して認証を通すのであれば、乗っ取り側も簡単にはいかなくなります。
もちろん、どんな認証方法だったとしても完全無欠なものはないので、破られる時は破られてしまいますが、要素を複合させることでセキュリティはかなり高まります。
ラピュタの「バルス」は三要素認証だった
さて、動画で出したわかりやすい例えはジブリの映画「天空の城ラピュタ」のバルスでした。
- 知識:「バルス」という滅びの呪文
- 所有物:飛行石
- 生体:王家の血筋
この三つが全て揃ってないと天空の城は崩壊しません。一方で、実際に映画を見てもらえばわかる通り、これらの認証手段の一つ一つには脆弱性があります。
よって、飛行石を奪って王家の血筋でもあったムスカはやりたい放題できたんですが、最後の最後で台無しにされたわけですね。
なお、この辺、スマホを奪われてTouch IDなりFace IDなりを無理矢理認証させられてロックを解除された場合は割と全部パァになるってことでもあります。
ただスマホをなくしただけなら情報を削除するとか色々セキュリティ対策はありますが、中に詰まっている自他の個人情報も含めて、現代のスマホはものすごく大事なものなので、取り扱いについて意識し直すのも大事かと思いますよ。
※追記:2023/02/19 Twitter BlueとSMS認証
2023年2月18日に、Twitterでは有料のTwitter Blueでのみ、SMSによる二要素認証を利用できるようにする、との発表があって話題になりました。
奇しくもその日は、久しぶりの阿佐ヶ谷イベントが行われておりまして、楽屋でもTwitterからの通知があったせいで話題になったものです(笑)。
その時にやはり楽屋で話題にした訳ですが、今回のこれ、SMSによるもののみが対象なので、本記事で紹介しているセキュリティキーによるものや、認証アプリを使ったものは今後も無料のまま利用できます。
認証アプリを使おう
認証アプリは無料の「Google Authenticator」などがメジャーです。
iPhone用(App Store)
Android用(Google Play)
「2FA(2要素認証)が使えないならTwitter Blueにするしかないじゃん」と思われてる方は、認証アプリを利用しましょう。
ちなみにiOSの場合、標準の設定アプリにある「パスワード」から認証コードを生成できますし、私はこれを使ってます。
ちょっと面倒なので、普通に「Google Authenticator」を使えばいいと思いますが(笑)。
何にしても、無理にTwitterに課金することはないです。
クイズ!ワレオネア セキュリティ編
「主役は我々だ!」さんの生放送「クイズ!ワレオネア」にて、セキュリティのクイズ問題制作をさせていただきました。
本記事でも触れた多要素認証の問題もありますので、気になる方はぜひご覧ください。
著者紹介
アリエナイ理科ポータル管理人にしてメルマガ編集、配信担当。
薬理凶室の裏方にいる四ツ目の悪魔。
https://twitter.com/JokerLunatic
Joker執筆の記事一覧
アリエナイ理科ポータル管理人にしてメルマガの編集、配信担当「Joker」。日々、ポータル記事を更新していますが、記事を執筆することもあり、その一覧となります。メインはお酒にまつわる話。またたまに情報技術に関してのTipsもあります。
関連記事
据え置きWi-Fiってどうなの?
光回線とルータ
システムの平和を守る仁義なきSEの苦悩
シャドウバンとは何か
データを完全に消去するには?
最強の鍵選び
ハッカーってどんな人達なんですか?
画像のねつ造の話
薬理凶室対談動画まとめ
対談動画解説のまとめ
宣伝
ニコニコ動画にて有料チャンネル「科学はすべてを解決する!! ニコニコ秘密基地」を開設しました!
「アリエナイ医学事典2」が発売されます!
「アリエナイ医学事典 改訂版」好評発売中です!
「アリエナイ理科ノ大事典3」、好評発売中です!
くられ先生の単著「アリエナイ毒性学事典」好評発売中です!
工作系に特化した「アリエナイ工作事典」好評発売中です!
「アリエナイ理科ノ大事典」改訂版が発売中です!
「アリエナイ理科ノ大事典2」、好評発売中です。
