安全な利用への理解が不可欠

複数の要素で認証強化をパソコンやスマートフォン、およびそれらを使ったインターネット上のサービスは、社会に深く浸透しており、日常生活とは切っても切れない生活基盤の一部となっている。さまざまな製品やインターネット上のサービスが次から次へと登場してくるが、それらをトラブルなく安全に利用するためには、製品の取扱説明書やサービスの契約内容、利用規約などをよく読んで、その仕組みや注意するポイントを理解することが大切である。

しかし、新しい言葉や聞きなれない用語も多く、全てを調べ理解するのはなかなか大変だと考えられる。そこで、独立行政法人情報処理推進機構（IPA）では、パソコンやスマ ートフォン、インターネットを安全に利用するための対策を取る上で、ぜひ知っておきたい用語や仕組み（技術名称やサービス名称など）をピックアップし、それらについての概要やよくある疑問点などを解説する「情報セキュリティ10大脅威　知っておきたい用語や仕組み」を発行した。

本資料は3章で構成されている。まず、1章では、理解しておくべき「脆弱性（ぜいじゃくせい）」「修正プログラムの適用」「キャッシュレス決済」「写真の位置情報」などの 用語や仕組みを解説している。2章では、できれば理解しておきたい「VPN（Virtual Private Network＝仮想専用通信網）」「Cookie（クッキー）」「リスクベース認証」などの用語や仕組みを解説。3章では、改めて確認していただきたい「HDD（ハードディスク）のデータ消去」やその他のIT用語などについて解説している。先に挙げた用語で実はよく理解せずに利用していたということがあれば、本資料を手に取ってほしい。

複数の要素で認証強化を

本資料では19の用語について解説を行っているが、そのうち五つは「認証」に関する用語となっている。インターネット上のサービスを利用するに当たりIDとパスワードなどで認証を行っているが、認証情報の漏えいなどによる不正ログインが続いている。そのため、認証強化はサービス提供者も利用者も意識すべき対策項目といえる。不正ログインの被害に遭わないようにするためにも、「認証」に関する用語や仕組みを理解してほしい。

ここからは本資料の中から理解しておいていただきたい認証技術「多要素認証」を取り上げて解説する。 ■多要素認証とは 認証するための要素を大別すると「記憶」「所持」「生体情報」の三つの要素がある。これら複数の要素で認証することを多要素認証といい、特に二つの要素で認証することは二要素認証ともいう。「記憶」とはパスワードやPINコード（個人識別番号）などの〝覚えている情報〟、「所持」はキャッシュカードやワンタイムパスワードトークン（パスワード生成機）などの〝所持しているもの〟、「生体情報」は静脈や指紋、顔の情報などの〝身体的特徴など〟を指す。

例えばログイン画面でパスワードを入力後、自身の携帯電話にワンタイムパスワードが記載されたSMS（ショートメール）が送信され、そのワンタイムパスワードを入力することでログインするサービスがある。パスワードを2回入力するため、一見多要素認証ではないように思えるが、SMSは電話番号宛に送信されるので、携帯電話を所持している人にしか見られない性質を生かして多要素認証の要件を満たしている。自身が利用しているサービスに不正ログインされないように、積極的に多要素認証を利用していただきたい。

（独立行政法人情報処理推進機構・江島将和）