FAQ：2要素認証について知っておくべきこと--Twitterなど大手サービスで進む不正アクセス対策

　2要素認証（2FAと略されることが多い）によって、ユーザーの基本的なログイン手続きの手順が1つ増える。2FAがない場合は、ユーザー名とパスワードを入力するだけでログインは完了だ。パスワードは単一要素認証である。2つめの要素を追加することで、理論上はアカウントのセキュリティが強化される。

　「Twitterは（2つめの要素を追加するために）SMSを利用する決定を下した。同社の立場からは、そうすることが理にかなっているからだ」。Duo Securityの最高技術責任者（CTO）であるJon Oberheide氏はこのように述べた。Duo Securityは身元の証明にアプリを利用している。SMSには「あらゆる場所で使われているという側面がある。必要なのは携帯電話だけだ」（Oberheide氏）

　しかし同氏は、非常に大きな注目を集めたTwitterハッキングの多くは法人のTwitterアカウントを標的としたものだったため、Twitterはいくらかの反発を受けていると言う。

　法人向けパスワード代替システムを手がけるOneIDの最高セキュリティ責任者（CSO）であるJim Fenton氏は、「2要素認証は確かに効果があるが、Twitterは大きな価値のある標的であり、それにふさわしい方法で保護される必要がある」と述べた。

　この記事では、2要素認証とは何なのか、どのような機能があるのか、どんな制限があるのかをまとめている。

--2要素認証とは何か。

　2要素認証によって、アカウントログインに2つめの認証段階が追加される。ユーザー名とパスワードの入力だけが必要な場合は、単一要素認証と見なされる。2FAでは、ユーザーは3種類の認証情報のうち2つを持っていなければ、アカウントにアクセスすることができない。その3種類の認証情報は以下のとおりだ。

• 暗証番号（PIN）、パスワード、パターンなど、ユーザーが知っている情報
• ATMカード、携帯電話、キーフォブなど、ユーザーが所有しているもの
• 指紋や声紋などのバイオメトリクスのようなユーザーの生体情報

--2要素認証はいつから存在しているのか。

　生命の誕生よりも前からだ。

　というのは冗談だが、2FAは決して新しいものではない。クレジットカードを使うときは、支払いの請求を確認するために自分のZIPコードを入力しなければならない。これが2FAの実用例だ。この場合、物理要素であるクレジットカードと、知識要素であるZIPコードを提示する必要がある。

　しかし、2FAが古くから存在しているからといって、その準備と利用が簡単なわけではない。

--ちょっと待ってほしい。2FAの利用は簡単ではないのか。

　確かに、2要素認証によってログインプロセスの手順が1つ増える。アカウントベンダー（Twitterなど）が2FAをどのように実装するかによって、些細な不便にもなるし、大きな頭痛の種にもなる。また、ユーザーの忍耐と、より高水準のセキュリティを実現するために余分な時間を費やすことをいとわない姿勢も、非常に重要だ。