スマートフォンのアプリを開くときに指紋認証を使ったり、オンラインゲームにログインするときにメールアドレスとパスワードを入力したり……毎日いろんな場面で「本当にあなただから、使ってもいいよ」という許可をされていますよね。実はそれ、「認証」という仕組みが働いているんです。でも「認証って何?」と聞かれると、うまく説明できない人も多いはず。この記事を読めば、認証の意味から仕組みまで、友だちに説明できるくらい理解できるようになりますよ。
- 認証とは 「あなたが本当にあなたであること」を確認する 仕組みのことで、詐欺やなりすまし対策になる
- パスワード・スマートフォン・指紋など 3つの種類の認証 があって、複数組み合わせると安全になる
- 毎日のアプリログインから銀行利用まで、認証はいろんな場面で僕たちを守っている んだ
もうちょっと詳しく
認証という言葉を聞くと難しく感じるかもしれませんが、実は君の日常生活の中にいっぱい隠れているんです。学校の図書館で本を借りるときに学生証を提示するのも、ある意味認証ですよね。図書館の人が「この学生証を持ってる人だから、貸してもいいよ」と確認してくれているんです。デジタルの世界でも同じことが起きていて、コンピュータやスマートフォンが「この人は本当にこのアカウントの持ち主だから、ログインさせよう」と判断しているんですよ。だから認証は、オンラインの世界を安全で信頼できる場所にするために、とっても大事な仕組みなんです。
認証は「身分証明」と同じ。本人確認ができれば、安心して情報をやり取りできる
⚠️ よくある勘違い
→ 違うんだ。認証は「誰がやってるのか確認する」こと。暗号化は「情報を隠す」こと。両方セキュリティのためだけど、役目が違うんだよ。
→ パスワードを正しい人が入力してるか確認するのが認証。そのパスワードを誰にも見られないように隠すのが暗号化。両方で安全になるんだ。
[toc]
認証とは何か、簡単に説明しよう
本人確認の仕組み
認証というのは、簡単に言うと「本当にあなたですか?」という確認のことです。毎日、君たちはいろんなサービスにログインしてますよね。YouTubeを見るときに自分のアカウントで入ってきたり、オンラインゲームをするときにIDとパスワードを入力したり。そのとき、YouTubeやゲームの会社は「このアカウントにアクセスしようとしている人は、本当にこのアカウントの持ち主なのか」を確認する必要があるんです。その確認作業が認証なんですよ。
例えば、君がコンビニでタバコを買おうとしたら、店員さんが年齢確認をしてくれますよね。身分証を見せて「この人は20歳以上だから売ってもいいよ」と確認する。あれと同じことがデジタルの世界でも起きてるんです。ただし、オンラインの場合は身分証の代わりにパスワードとか指紋とか、いろんなものが使われるってわけです。
デジタルサービスで認証がないと、どうなると思いますか?例えば、SNSのアカウントに誰でもログインできてしまったら大変ですよね。あなたのプロフィール写真を勝手に変えられたり、あなたになりすまして友だちにメッセージを送られたり、個人情報が盗まれたりするかもしれない。そういう悪いことが起きないようにするために、認証という仕組みがあるんです。つまり、認証は「正しい人以外はアクセスさせない」という防御壁の役割をしてるんですよ。
認証が必要な理由
なぜ、ここまで厳しく本人確認をする必要があるのでしょうか。それは、デジタルの世界では、誰が何をやってるのか見えないからです。現実世界だと、君が学校の体育館にいれば「あ、あの人がいるな」ってわかりますよね。でもインターネットの世界では、メッセージを送ってきた人が本当にその本人なのか、詐欺師が偽ってるのか、まったくわからないんです。
だから、オンラインサービスは「パスワードを知ってるなら、その本人に違いない」とか「指紋が一致したから、その本人に違いない」という感じで、確認できる証拠を集めるんです。これが認証ですよ。
もう一つの理由は、データの安全性です。SNSなら君の友だち関係とか写真が保存されてますし、オンラインバンキングなら お金に関する情報が保存されてます。こういう大事な情報を、本当の持ち主以外には見せてはいけないんです。だから、サービスにアクセスする人が本当に本人なのかを確認する必要があるんですよ。認証は「大事な情報を守るための第一関門」みたいなものなんです。
認証の3つの種類を知ろう
パスワード(知識認証)
認証の種類の一つは「知識認証」といって、つまり「何かを知ってるかどうかで確認する」ということです。その代表例がパスワードですね。
パスワードは、本人だけが知ってる秘密の文字列のことです。例えば、君が自分のLINEアカウントを作るときに、自分しか知らないパスワードを決めますよね。だから、そのパスワードを入力できた人は「あ、この人は本当にこのアカウントの持ち主に違いない」ってわけです。
でも、パスワード認証には弱点があります。パスワードを忘れてしまうと、アカウントにアクセスできなくなってしまうんです。また、パスワードが他の人に知られてしまったら、その人が本人になりすまして使えてしまうんですよ。だからパスワードを入力するときは「誰にも見られないようにしよう」とか「簡単すぎるパスワードを使わないようにしよう」って言われるんです。
強いパスワードというのは、つまり「他の人が当てづらい複雑な文字列」のことです。誕生日とか自分の名前とかは簡単に当てられちゃうから、大文字と小文字と数字と記号を混ぜた、長くて複雑なものを使うといいんですよ。
スマートフォンやカード(所有認証)
認証の二つ目は「所有認証」といって、つまり「何かを持ってるかどうかで確認する」ということです。この代表例が、スマートフォンやカードですね。
例えば、銀行のアプリで大きなお金を移動させるとき、銀行から「スマートフォンのアプリで承認してください」みたいなメッセージが来ます。これは「このスマートフォンを持ってる人なら、本当にこのアカウントの持ち主に違いない」という確認をしてるわけです。
他には、クレジットカードにICチップが付いてますよね。あれも「このカードを持ってる人が、このカードの持ち主です」という確認をしてるんです。現実世界だと、警察が身分証を見せてって言いますけど、あれも「このカードを持ってる人が本人です」という所有認証なんですよ。
所有認証の良いところは、パスワードと違って「別の人に簡単に知られない」ということです。スマートフォンを持ってる人は、その人だけですからね。ただし、スマートフォンをなくしてしまったら、他の人に使われる危険があります。だから「スマートフォンをなくしたら、すぐに銀行に連絡しましょう」って言われるんです。
指紋や顔(生物認証)
認証の三つ目は「生物認証」といって、つまり「君の体の特徴で確認する」ということです。指紋とか顔とか、その人にしかない特徴を使うんですよ。
最近のスマートフォンはほとんど、指紋認証とか顔認証の機能が付いてますよね。スマートフォンのロックを解除するときに指を置いたり、スマートフォンに顔を向けたりするあれです。これは「この指紋は君のもので、この顔は君のものだから、本当に君がこのスマートフォンを使ってるんだ」と確認してるんですよ。
生物認証のいいところは、パスワードを忘れたり、スマートフォンをなくしたりしても大丈夫ってことです。君の指紋や顔は、君の体の一部だから、絶対になくならないですからね。だから「最も安全な認証」って言われることもあるんです。
ただし、弱点もあります。例えば、指紋認証は君の指を押し当てる必要があります。もし君が寝てる間に、誰かが君の指を使ってスマートフォンを開けられたら……嫌ですよね。だから実際には、複数の認証方法を組み合わせて使うんです。
認証を組み合わせて、より安全にしよう
多要素認証の仕組み
ここまで、認証の3つの種類を説明しましたけど、実は大事なのは「組み合わせて使う」ってことなんです。これを「多要素認証」といって、つまり「複数の認証方法を使って、より安全にする」ということです。
例えば、銀行のアプリはどうなってますか?通常は、ユーザーIDとパスワードを入力してログインしますよね。でも、大きなお金を送金するときは「6桁のコードをスマートフォンのアプリで確認してください」って言われたりします。これは、パスワード(知識認証)とスマートフォン(所有認証)の2つの認証方法を組み合わせてるんですよ。
なぜそんなことをするのかというと、セキュリティを二重にするためです。もしパスワードが他の人に知られてしまっても、スマートフォンがなければ、その人はアカウントにアクセスできません。逆に、スマートフォンを盗まれても、パスワードを知らなければ使えないんです。
もっと厳しいサービスは、3つ以上の認証方法を組み合わせてることもあります。例えば「パスワード」「指紋」「スマートフォンに送られてくるコード」の3つを全部確認する、みたいな感じです。これを「三要素認証」と言ったりするんですよ。複数の認証を組み合わせることで、より多くの防御壁を作ってるわけです。
二段階認証と多要素認証の違い
ここで、ちょっと難しい言葉の区別をしておきましょう。「二段階認証」と「多要素認証」という言葉を聞いたことがあるかもしれませんが、実は違う意味なんです。
「二段階認証」というのは、つまり「2回に分けて認証する」ということです。例えば、最初にパスワードでログインして、次にスマートフォンに届いたコードを入力する。この「2回に分けた」というプロセスが重要なんですよ。1回ずつ確認していくから「二段階」って言うんです。
一方、「多要素認証」というのは「複数の異なった方法を使う」ということです。パスワード、スマートフォン、指紋とか、いろんな種類の認証を組み合わせるんですよね。
実は、多くのサービスは両方をやってるんです。例えば:
– 最初のステップ:パスワードを入力する(第1段階)
– 次のステップ:スマートフォンのアプリで確認する(第2段階)
このプロセスの中で、パスワード(知識認証)とスマートフォン(所有認証)という2つの異なった認証方法を使ってるわけです。だから「二段階認証で、なおかつ多要素認証」ってことになるんですよ。
認証を安全に使うために、君がするべきこと
パスワード管理のコツ
認証システムをちゃんと機能させるために、君たちができることがあります。その一番大事なのが「パスワード管理」です。
パスワードは、君の大事な情報を守るためのカギだと思ってください。そのカギを、誰でも開けられるような簡単な形にしてしまったら、意味がないんですよ。だから、強いパスワードを作る必要があります。
強いパスワードって何かというと、まず「8文字以上」が目安です。短すぎると、コンピュータが全パターン試してみて当てられちゃうんですよ。次に「いろんな種類の文字を混ぜる」ことです。大文字のA、小文字のa、数字の1、記号の!みたいに、いろんな種類を混ぜると、当てるのが難しくなります。
それからもう一つ大事なのは「同じパスワードを使い回さない」ってことです。もし一つのサービスからパスワードが漏れたら、他のサービスも使えなくなっちゃいますからね。「LINEのパスワード」「YouTubeのパスワード」「ゲームのパスワード」みたいに、サービスごとに違うパスワードを作るのがいいんです。
ただし、いっぱいのパスワードを全部覚えるのって、すごく難しいですよね。だから「パスワードマネージャー」という、つまり「パスワードを安全に保管してくれるアプリ」を使うのがいいんですよ。そのアプリなら、一つのマスターパスワードだけ覚えておけば、他のパスワードは全部管理してくれます。
疑わしいログインを防ごう
認証を安全に使うために、もう一つ大事なことがあります。それは「疑わしいログインに気づく」ということです。
例えば、君が普段は日本からLINEを使ってるのに、ある日いきなり「アメリカからのログインを検知しました」みたいな通知が来たら、それは変ですよね。君はアメリカにいないのに、誰かが勝手にアカウントを使おうとしてるのかもしれません。そういうときは「ログインを許可しない」を選ぶ必要があります。
多くのサービスは、いつもと違う場所からログインされたときに「本当にあなたですか?」と確認してくるんです。これを「異常検知」といって、つまり「普通じゃない動きを見つけ出して警告する」ということです。だから、変な通知が来たら「あ、誰かが勝手にログインしようとしてるんだな」って気づいて、パスワードを変えるとか、サービス会社に報告するとかできるんですよ。
それからもう一つ。疑わしいメールやリンクには気をつけましょう。例えば「あなたのアカウントが不正アクセスされました。このリンクからパスワードを変更してください」みたいなメールが来たら、それは詐欺かもしれません。本当にそのサービスのメールなのか確認してから、リンクをクリックするようにしてください。これを「フィッシング詐欺」といって、つまり「本物のメールやウェブサイトに見せかけて、パスワードや情報を盗もうとする詐欺」のことです。