本レポートは、2023年2月9日に行われた講演をもとにしたものです。
個人アカウントを守る、セキュリティを高める二要素認証の必要性
Twilio Japanは、SNSや電話、チャット、ビデオ、Eメールといった、さまざまなコミュニケーションチャネルをAPIとして提供する企業。TwilioのAPIを企業が提供しているプロダクトに組み込むことによって、ユーザーとシステム、アプリケーションがやり取りをできるようになる。使われかたはさまざまで、深夜にサーバーが落ちるなどのトラブルが起こったときに担当者へ架電したり、自動音声応答でユーザーからの問い合わせに対応したりといったことが可能になる。
TwilioのAPIは、サインイン(ログイン)したときの認証インフラとしても使われている。IDとパスワードの認証後、携帯電話のSMSなどへ認証コードを送るといった使い方がされている。
セキュリティに関する問題はいま、インターネットを利用したサービスを提供する企業にとって、もっとも重要な関心事だ。しかし、企業がどんなに強固なセキュリティシステムを導入したとしても、ユーザーがIDやパスワードを管理している限り不正アクセスからは逃れられない。ユーザーを不正アクセスから守る仕組みとして、二要素認証(二段階認証)がある。IDとパスワードだけでサインインさせるのではなく、プラスアルファの要素を必要とする仕組みだ。
IDとパスワードの入力で本人確認をしてきた歴史はかなり長い。池原氏は「Gmailのサービスがはじまった初期の2006年ごろからのメールアドレスを使用しているので、Chromeで管理されているアカウントが222件ありました。数が多すぎて覚えることが難しくなっています。パスワードマネージャーを使わないともう無理ですよね」と自身の状況から、アカウントを管理が困難になっていることを説明した。
アカウントの管理が難しいからといって、IDとパスワードを使うのはかなりリスクが高い。haveibeenpwned.comというサイトでは、Emailアドレスや電話番号に紐づいたアカウントが流出しているかどうかを調べられる。入力してみると、相当な量のアカウントがすでに流出していることがわかる。もし、IDとパスワードを使い回していると、流出したアカウントをもとにほかのサイトへサインインできてしまうことになる。
IDとパスワードはもはや盗まれるもので、いつまでも安全なものではないということが共通認識として必要だ。そういった背景もあり、IDとパスワードという「知る要素」+携帯電話などの「持つ要素」+指紋や静脈などの「備える要素」というものを使うことでセキュリティを高めている取り組みが、ここ10〜15年ほど続いてきている。アカウントの認証方法としてIDとパスワードの入力に、さらに本人確認を加える二要素認証がよく使われている。
