SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

Developers Summit 2023 セッションレポート(AD)

ユーザーに最適な二要素認証の方法を考える、それぞれのメリット・デメリットとは?

【9-B-7】結局どれが一番なの?あなたのユーザーに最適な二要素認証の方法を考える

  • X ポスト
  • このエントリーをはてなブックマークに追加

 ユーザーは多くのアカウント管理を強いられている一方で、アカウント情報の流出は頻繁に起こっている。もはやIDやパスワードは流出するものとして考えて、セキュリティに取り組む必要がある。不正アクセスなどのセキュリティ問題からユーザーを守るため、二要素認証は欠かすことができないのが現状である。しかし二要素認証にはさまざまな方法があり、サービス提供者が導入するにはそれぞれの方法の利点や欠点などを把握することが重要である。APIで二要素認証を提供しているTwilio Japan合同会社の池原大然氏は、複数の二要素認証手法の比較と認証システムについて語った。

  • X ポスト
  • このエントリーをはてなブックマークに追加

 本レポートは、2023年2月9日に行われた講演をもとにしたものです。

個人アカウントを守る、セキュリティを高める二要素認証の必要性

 Twilio Japanは、SNSや電話、チャット、ビデオ、Eメールといった、さまざまなコミュニケーションチャネルをAPIとして提供する企業。TwilioのAPIを企業が提供しているプロダクトに組み込むことによって、ユーザーとシステム、アプリケーションがやり取りをできるようになる。使われかたはさまざまで、深夜にサーバーが落ちるなどのトラブルが起こったときに担当者へ架電したり、自動音声応答でユーザーからの問い合わせに対応したりといったことが可能になる。

 TwilioのAPIは、サインイン(ログイン)したときの認証インフラとしても使われている。IDとパスワードの認証後、携帯電話のSMSなどへ認証コードを送るといった使い方がされている。

 セキュリティに関する問題はいま、インターネットを利用したサービスを提供する企業にとって、もっとも重要な関心事だ。しかし、企業がどんなに強固なセキュリティシステムを導入したとしても、ユーザーがIDやパスワードを管理している限り不正アクセスからは逃れられない。ユーザーを不正アクセスから守る仕組みとして、二要素認証(二段階認証)がある。IDとパスワードだけでサインインさせるのではなく、プラスアルファの要素を必要とする仕組みだ。

 IDとパスワードの入力で本人確認をしてきた歴史はかなり長い。池原氏は「Gmailのサービスがはじまった初期の2006年ごろからのメールアドレスを使用しているので、Chromeで管理されているアカウントが222件ありました。数が多すぎて覚えることが難しくなっています。パスワードマネージャーを使わないともう無理ですよね」と自身の状況から、アカウントを管理が困難になっていることを説明した。

 アカウントの管理が難しいからといって、IDとパスワードを使うのはかなりリスクが高い。haveibeenpwned.comというサイトでは、Emailアドレスや電話番号に紐づいたアカウントが流出しているかどうかを調べられる。入力してみると、相当な量のアカウントがすでに流出していることがわかる。もし、IDとパスワードを使い回していると、流出したアカウントをもとにほかのサイトへサインインできてしまうことになる。

 IDとパスワードはもはや盗まれるもので、いつまでも安全なものではないということが共通認識として必要だ。そういった背景もあり、IDとパスワードという「知る要素」+携帯電話などの「持つ要素」+指紋や静脈などの「備える要素」というものを使うことでセキュリティを高めている取り組みが、ここ10〜15年ほど続いてきている。アカウントの認証方法としてIDとパスワードの入力に、さらに本人確認を加える二要素認証がよく使われている。

知る要素、持つ要素、備える要素を使い、セキュリティを高める
知る要素、持つ要素、備える要素を使い、セキュリティを高める

次のページ
4つの二要素認証の方法、それぞれの利点と欠点

この記事は参考になりましたか?

  • X ポスト
  • このエントリーをはてなブックマークに追加
Developers Summit 2023 セッションレポート連載記事一覧

もっと読む

この記事の著者

森 英信(モリ ヒデノブ)

就職情報誌やMac雑誌の編集業務、モバイルコンテンツ制作会社勤務を経て、2005年に編集プロダクション業務やWebシステム開発事業を展開する会社・アンジーを創業。編集プロダクション業務においては、IT・HR関連の事例取材に加え、英語での海外スタートアップ取材などを手がける。独自開発のAI文字起こし・...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:Twilio Japan合同会社

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

  • X ポスト
  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/17542 2023/04/07 14:55

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング