サイレントネットワーク認証と、二要素認証の今後
すべての方法に何らかの欠点があるため、二要素認証はいくつかの方法を組み合わせたり、どこかを妥協したりして使っていく必要がある。しかし、池原氏は導入にあたって、考えておくべきこととして「サービスの提供側は二要素認証の導入を進めていきたいと考えています。しかし、ユーザーにとっては必ずしも導入してほしい、導入したいものではないということです」と指摘する。
ユーザーにしてみれば手間が増えるので「煩わしい」と感じてしまう壁がある。それを乗り越えるにはどうしたらいいのか。
まず考えられるのが、二要素認証を導入しないとユーザーがサービスを使えないようにすることだ。金融系のサービスなどでは、二要素認証が必須になっていることが多い。わずらわしいと感じる壁は越えられないものの、機能を利用するために仕方なく導入するだろう。
2つ目は二要素認証を導入することで、ユーザーにメリットがあると提示すること。BtoBでは見かけない方法だが、BtoCだと使われていることが多い。オンラインゲームの利用中にユーザーが二要素認証を導入することで、本来であれば課金する必要のあるサービスが無料で利用できるようになるといった使い方がされている。
3つ目は無意識のうちに認証させる方法だ。2022年末から話題になっているWebAuthn/Passkeysがそれにあたる。IDやパスワード、要素認証ではなく、認証情報を各ブラウザやデバイスで共有して、パスワードレスで認証しようというものだ。IDとパスワードを覚える必要がなく、二要素認証で毎回コードを入力する必要がない。認証情報がほかの環境と共有できる世界がもうすぐ来るといわれている。
また、サイレントネットワーク認証というものもある。これはスマートフォンなどのSIMやeSIMの情報を使って、携帯電話キャリアが認証を行うもの。サイレントネットワーク認証は、昨年からTwilioでもサポートをはじめ、認証方法の1つとして提案を行っている。スマートフォンのSIMに登録されている情報を使って本人確認をすることで、なりすましをするのは難しいと考えられる。ワンタイムパスワードの入力をすることなく、SIMを内蔵しているデバイスで認証をかけたら本人確認ができるようになるのだ。日本での導入はまだ検討中だが、アジアパシフィック地域では実用化されている。
池原氏は二要素認証の今後について「将来的にはいわゆる二要素認証はもしかすると、なくなっていく技術かもしれません。ただし、すぐにそういった世界になるのは難しいため、紹介した二要素認証の利点や欠点を考慮しながら導入を進めていく。すでに導入しているのであれば、この認証方法でよいのか、将来的にはどうしていくのかを考えていく、そういった時代になってきたのかなと思います」と話し、講演を締めくくった。
