IDとパスワードを入力してウェブサイトにログインしようとすると、スマートフォンが鳴って、画面に「ログインを許可しますか?」の表示。正規ユーザーだけが知っているパスワードという「知識」と、同じく正規ユーザーだけが持っているスマートフォンという「所有物」を組み合わせた多要素認証の一例です。最近では主要なウェブサービスの多くがこのような機能をサポートしたことで、IT業界以外の人と話すとき、「多要素認証とは何か」を細かく説明しなくても、「携帯になんか飛んでくるあれのことね」とイメージしてもらえることが多くなりました。

 業務システムに多要素認証の機能を追加しようとすると、従来はワンタイムパスワードを表示する「ハードウェアトークン」などの導入が必要で、非常に高価なソリューションでしたが、クラウドサービスとスマホアプリの組み合わせで同じことができるようになり、中小企業でも導入可能なレベルまでコストが下がりました。

 「パスワードの管理は厳重に」「複数のサービスで同じパスワードを使いまわさない」と再三指摘されているにもかかわらず、セキュリティー事故の多くはパスワード漏えいによって発生しています。「パスワードだけの認証では、もはやセキュリティーは守れない」という現実を認めなければいけない時代になったと言えるかもしれません。(日高彰)