二段階認証と二要素認証とは
はじめに
自社システムのユーザー認証において、セキュリティを高める施策をしようとしている。よくある認証を調べている中で二段階認証と二要素認証という言葉が出てきたのでそれらを理解して、正しく使い分けられるようになりたい。
二段階とは
辞書で調べると段階とは下記である。
① 能力などの差によって順々に設けた高低のくぎり。等級。 「五-評価」 ② 物事の順序。 「 -をふんで意見を上申する」 ③ 進んでいく、または変化する過程の一区切り。局面。状態。 「現在の-では工業化は困難である」 ④ 階段。きざはし。
つまり二段階というのは物事の区切りや順序が二つあるよーっということ。 ここで重要なのは区切りや順序があればよくて中身に関しては一切定義されていないということ。
二要素とは
次に二要素であるが、こちらも辞書で調べると
① 物事を成り立たせているもの。また、物事の成り立ちに関与している成分や性質。 ② 集まっているもの、または組み合わさっているものの一つ一つ。それ以上分析できないもの。 ③ 〘法〙 具体的な法律行為・意思表示において、その行為者に重要な意義をもつ部分。 ④ 〘数〙 集合を構成している一つ一つのもの。元(げん)。 〔「哲学字彙」(1881年)に英語 factor の訳語の一つとして載る〕
つまり二要素というのは物事の成分や性質、組み合わさっているものが二つあるよーていうこと。 ここで重要なのは物事の中身の部分であるということ。
二段階認証と二要素認証の違い
言葉の定義から考えるとそれぞれは下記となる。 二段階認証・・・二段階で行われる認証のことで、時間軸が別であればよい。 二要素認証・・・二要素で行われる認証のことで、異なる認証方法であればよい。
認証で重要なのは
ここまででそれぞれの違いがわかったが、認証においてどちらが重要であるでしょうか。 これはマイクロソフトの公式ドキュメントやNISTというアメリカの標準技術研究所が使っている言葉から明らかなように二要素認証が重要であり、二段階であることにセキュリティを高める意味はない。異なる二つの認証を行うことでセキュリティを高めることができるのである。 システムの便宜上二要素認証をするには二段階認証になるだけで、やりたいことは二要素認証である。重ねて言うが二段階認証は二要素認証をするための手段にすぎない。
まとめ
二要素認証のみが重要であることがわかった。 ただし、日本では二段階認証という言葉が一般化してしまっていることは間違いない。海外では二要素認証つまりtwo factor authenticationという言葉しか使われない。 二段階認証という言葉を使っている人がいてもあえて何か言う必要はないが自分は正しい言葉を使っていきたい。