情報セキュリティ10大脅威の認証を纏めてみた

こんにちは。

koma　です。

年末年始のニュースを見ていてふと、2024年度の情報セキュリティ概況はどうだったのだろう？と思い、IPAの情報セキュリティ白書を調べました。
2025版はまだ公開されていませんでしたが「情報セキュリティ白書2024」で2023年度の概況がPDFで公開されていました。

別ページの「情報セキュリティ10大脅威 2024」ページ内に「情報セキュリティ10大脅威 2024 知っておきたい用語や仕組み 33ページ(PDF:1.7 MB)」のリンクがあり、こちらも読みましたが思っていたよりもわかりやすかったです。

ちょうどスマホの機種変更で、関連アプリのパスキー設定や二要素認証のやり直し（アカウント再発行もあった。。）など手間取ったばかりだったので、「認証」についておさらいしてみました。まとめはざっくりとしていますので、詳細に興味がありましたら上記の資料をぜひご覧ください。

多段階認証、多要素認証

ID/パスワード情報漏洩などの不正ログイン対策を目的として設定。

多段階認証では、認証する回数を2回以上に分ける。
（例）2種類のパスワードそれぞれを1回目、2回目に分けて認証する）
多要素認証では記憶（パスワードなど覚えている情報）、所持（キャッシュカードなど所持しているもの）、生体情報（静脈など身体的特徴等）のうち、複数の要素で認証する。（2つの要素で認証することを二要素認証ともいう）
（例）パスワードを入力後、ワンタイムパスワードを入力）

オンライン本人確認（eKYC）

eKYCは「Electronic Know Your Customer」の略。2018年に犯罪収益移転防止法の一部が改正され、オンライン上で本人確認が可能になった。端末に付属しているカメラで本人確認書類と自身の画像を撮影し送付する「セルフィー型」と、ユーザーの同意のもと携帯電話会社や金融機関で過去に確認した本人情報提供を得て実施する「フェデレーション型」の2種類がある。
（例）本人確認書類（免許証など）をスマホで写真撮影しアップロードする（専用アプリが提供されている場合もあり）

CAPTCHA認証

Completely Automated Public Turing Test to tell computers and humans apart（コンピュータと人間を識別するための完全自動の公開チューリングテスト）の頭文字からなる。人間が操作していることを確かめる認証方法。DDos攻撃のような同時に大量の操作はボットによって行われるため、ボットではできない操作を行わせて被害を防ぐ。
（例）パズルを解かせる・写真を選ぶなど）

3Dセキュア　本人認証
クレジットカード決済を行う操作が本人のものかどうかを確認する本人認証サービス。クレジットカードにはカード番号や氏名など、決済に必要な情報が記載されておりクレジットカードを入手すれば決済可能になっていたが、追加認証（生体情報やワンタイムパスワードなど）を加えることで不正利用を防ぐものになる。
3DのDはdomainのことで「3つの領域」という意味。3つの領域とは、「クレジットカード発行会社」「加盟店管理会社」「この2つをつなぐ領域」のこと。

リスクベース認証
不正ログインにより「なりすまし」されていないかを確認するため、必要に応じて行う追加の認証のこと。利用者がいつもと異なるデバイスでアクセスした場合に、追加でワンタイムパスワードや「秘密の質問」の送信などの要求を行う。

その他：パスキー　
パスワードを使わない認証方式の1つで、スマホなどの生体認証やPINを利用して認証を行う。固定のパスワードが不要なため、パスワード認証によるフィッシング詐欺やパスワードリスト攻撃などによる不正アクセスのリスクが低く、なりすまし対策にも有効。またパスワード管理が不要になるメリットがある。