安心安定運用のための2段階認証

安心安定運用のための2段階認証

近年、金融機関のネットバンキングや、ECサイトを利用したネットショッピングなどインターネットを利用したさまざまなサービスが提供されています。

そのようなサービスでは氏名や住所、生年月日といった個人情報のほか、銀行口座での入出金やクレジットカードによる決済などより機密性の高い情報が登録されます。

このように機密性の高い情報を自身のWebサイトなどで取り扱う場合、従来のユーザIDとパスワードだけではセキュリティ面で不十分であるとされています。このような対策として有効なのが2段階認証です。

この記事ではWebサイトの安全性を高めるための2段階認証の仕組みを解説するとともに、収集する情報の中で2段階認証を行うべきものについて説明します。

2段階認証とは

通常Webサイト上でのユーザー認証といえば、ユーザIDやパスワードを入力してログインすることが一般的です。しかしユーザIDとパスワードだけで本当に大丈夫だろうかと思っている方も多いかもしれません。

実は多くのユーザはさまざまなWebサイトで自身のユーザIDやパスワードを同じものを使っていたりするのが現状です。つまり仮に何らかのかたちで自身のユーザIDとパスワードが漏洩した場合、他のアカウントも乗っ取られる可能性があるのです。

さらにメールアドレスなどを手がかりに パスワードの文字列を総当たりで試す不正アクセスも近年増えてきているのが現状で、ユーザIDやパスワードだけでは巧妙化するサイバーセキュリティ攻撃に対して十分ではないと認識しておく必要があります。

そこで最近よく使われているのが「二段階認証」です。GoogleやApple、Microsoftをはじめ、FacebookやLINEの会員登録の時に使われる方法なので知っている方も多いかもしれません。

2段階認証の基本的な仕組み

たとえばユーザIDとパスワードを使って、Webサイトにログインするとします。ここで二段階認証にすると IDとパスワードの入力の次にさらにコード(番号)の入力をするよう画面上に指示がされています。

このタイミングで自身が登録している電話番号に電話がかかってきたり、SMSで通知するなどして入力すべきコードが通知されます。そしてWebサイト上にこのコードを入力するればログインができる仕組みになっています。

またスマートフォンで銀行のネットバンキングで決済する時に使用されているのがトークンというものです。トークンはインストールしたアプリケーションや専用のハードウェアを経由して、一定時間ごとに更新されるランダムに通知される数字や文字列をWebサイト上に入力させることで、この情報とユーザID、パスワードをサーバ側で照合してアクセスを許可する仕組みです。

このように2段階認証はセキュリティを強化するという側面では有効なのですが、利用する側からするとアクセスするための手間が増える意味で面倒なのも事実です。

このような課題を解決するためには、Webサイトを設計・改善する上で、タイミングや登録する情報により、2段階認証を行うかどうかを決めておくことが重要です。

2段階認証が必要な情報とは

2段階認証によって厳重にガードしておくべき情報としては、銀行口座やクレジットカード番号など漏洩し、悪用されることでユーザが金銭的な被害を被るものはまず必須だと考えます。

さらに改正個人情報保護法で強化された信条や宗教、病歴に関する機微情報についても考慮する必要があります。

これらの多くはWebサイトへの新規登録時や登録された情報の変更、パスワードを忘れた時に気をつければいいと考えられるので、毎回のサイトへのアクセスにはユーザID、パスワードだけで認証するのが一般的です。

ただし病気に関するWebサイト上での相談などについては機微情報を入力する可能性があるので内容によっては注意が必要です。

ただし、ネットショッピングでクレジット決済を行う場合は、カードの裏面に記載されたセキュリティコードによりカード会社側でチェックを行なっているので、一般的なWebサイトで2段階認証まで考慮しておく必要はありません

活用するケース 2段階認証を適用したい情報(例)
ユーザー情報の登録・変更
  • 銀行口座情報
  • クレジットカード情報
  • 信条、政治観、宗教等の情報
  • 病歴等に関する情報 など
通常の情報入力
  • 銀行口座への取引(入出金、振込、振替など)
  • 医療機関での診断・検査結果、投薬状況  など
システム管理
  • WordPressなどクラウド、インターネット上でのサイト管理 など
  • 医療機関での診断・検査結果、投薬状況  など

インターネットが日常生活で普及し一般化する中で、サイバーテロ等による不正アクセスで個人の機密情報の漏洩が世界的に問題になっています。

しかしながらあまりセキュリティ面を重視するあまり、その利便性が損なわれては本末転倒です。Webサイトで収集・管理する情報をその重要性や漏洩リスクを考慮しつつ、2段階認証を含めた対策を実施することこそWebサイトの安心安定運用に繋がるのです。

川崎屋が制作するホームページ

2017年7月から川崎屋が制作するホームページは製作費据え置きで2段階認証対応ホームページを標準搭載とさせて頂きました。

川崎屋は顧客情報を守る安心安全なホームページを引き続きご提供させて頂きます。