安全な電子契約を実現する「2要素認証」とは?2段階認証との違い・SMS認証のリスク
1. 「2要素認証」とは
1.1 IPAによる2要素認証の定義
2要素認証とは、認証方法として用いられる「記憶」「所持」「生体情報」の3つの要素のうち、2つの要素を使用して認証することを言います。
IPA(独立行政法人情報処理推進機構)では、2要素認証とは何かについて、次のとおり説明しています((IPAセキュリティセンター「情報セキュリティ10大脅威知っておきたい用語や仕組み」(2021年3月)14頁)。
認証するための要素を大別すると3つの要素があり、これらを認証の3要素としています。それぞれ、「記憶」、「所持」、「生体情報」を指します。そしてこれらの3つの要素のうち、2つの要素で認証することを二要素認証、2つ以上の要素で認証することを多要素認証といいます。例えば「記憶」とはパスワードやPINコード等の”覚えている情報”、「所持」はキャッシュカードやワンタイムパスワードトークン等の”所持しているもの”、「生体情報」は静脈や指紋、顔の情報等の”身体的特徴等”を指します。
例えば最近では、ログイン画面でパスワードを入力後、自身の携帯電話にワンタイムパスワードが記載されたSMSが送信され、そのワンタイムパスワードをさらに入力することでログインするサービスが増えています。パスワードを2回入力するため、一見二要素認証ではないように思えますが、SMSは電話番号宛に送信されるので、携帯電話を所持している人にしか見られないという性質を生かして二要素認証の要件を満たしていると言えます。
各要素の代表例は、
- 「記憶(知識)」がパスワード
- 「所持」がハードウェアトークン
- 「生体情報」が指紋
です。これらは、事前に認証されたユーザーが、実際にそのサービスを利用していることを確認(当人認証)するために用いられます。
1.2 2要素認証と2段階認証との違い
2要素認証と似た用語として、「2段階認証」があります。2段階認証とは、文字どおり認証を2段階に分けて行うことです。
前掲IPA 14頁から引用します。
認証する回数を一回ではなく二段階に分けて行うことを二段階認証といいます。例えばサービスにログインする際に、1つ目のパスワードを入力して認証した後、2 つ目のパスワードを入力して二段階で認証することでセキュリティを高めようとする方式です。家の鍵を二個かけるのと似たイメージです。当然ながらパスワードが2つとも漏れてしまえば第三者に不正ログインされてしまうおそれがあります。
2段階認証は、単一要素認証を2回行う場合を含みます。単一の要素を2回行う代表例は、パスワードと「秘密の質問」の併用です(「記憶(知識)」の要素を2回)。この場合、2要素認証よりも認証強度は弱くなります。
なお、2要素認証と2段階認証の違いについては、クラウド型電子署名サービス協議会のホワイトペーパー「クラウド型電子署名のなりすましリスクに関する見解」にも図解されていますので、ご参照ください。
1.3 電子契約サービスで用いられる2要素認証の具体例
電子契約サービスでは、2要素認証の組合せとして、通常以下の組み合わせを採用しています。
- メールアドレス及びログインパスワードの入力=記憶(知識)認証
- スマートフォンへのSMS送信やトークンアプリ等の利用により取得したワンタイム・パスワードの入力=所持認証
ほかにも、指紋等の生体情報を利用することも考えられますが、現在、電子契約サービスで一般に提供されている2要素認証は「記憶(知識)」×「所持」 がよく用いられています。
2. 電子署名法が要求する認証レベル
2.1 電子署名法3条「本人だけが行うことができることとなるもの」と2要素認証の関係
電子契約の有効性を法的に裏付ける法律が、電子署名法です。
この電子署名法の3条には、本人による電子署名がされていれば、電子契約は真正に成立したものと推定されることが定められています。
第三条 電磁的記録であって情報を表すために作成されたもの(略)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
ここで、「本人による電子署名」の後ろに付けられたカッコ書き部分に注目すると、電子契約の有効な成立を推定する要件として、「これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。」という限定条件が付されています。
この要件を図解すると下図の★部分のとおりとなりますが、この電子署名法上の本人要件を満たすために、2要素認証が必要なのかが問題となります。
2.2 電子署名法3条Q&Aが示す「十分な水準の固有性」要件
この2要素認証の必要性に関して、2020年9月に政府(総務省・法務省・経済産業省、現在はデジタル庁に移管)が、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A(電子署名法3条に関するQ&A)」(「3条Q&A」)を公表しました。
本3条Q&Aの問2の解説では、「事業者署名型」の電子契約サービスが電子署名法3条を満たすには、「十分な水準の固有性を満たしていること」が必要だといいます。
その上で、上記サービスが電子署名法第3条に規定する電子署名に該当するには、更に、当該サービスが本人でなければ行うことができないものでなければならないこととされている。そして、この要件を満たすためには、問1のとおり、同条に規定する電子署名の要件が加重されている趣旨に照らし、当該サービスが十分な水準の固有性を満たしていること(固有性の要件)が必要であると考えられる。
より具体的には、上記サービスが十分な水準の固有性を満たしていると認められるためには、①利用者とサービス提供事業者の間で行われるプロセス及び②①における利用者の行為を受けてサービス提供事業者内部で行われるプロセスのいずれにおいても十分な水準の固有性が満たされている必要があると考えられる。
ここでいう「固有性」とは、暗号化等の措置を行うための符号について、他人が容易に同一のものを作成することができないと認められること をいいます。
電子署名法には明記されていませんが、「本人だけが行うことができる」という要件から導かれるものです(関連記事:「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否)。
2.3 電子契約の固有性を担保する手段として2要素認証が必要とされる理由
では、何について「十分な水準の固有性」が確保されていなければならないのでしょうか。
3条Q&Aは、「事業者署名型」の電子契約サービスの場合、2つのプロセスで固有性を確保することを求めています。
- 利用者とサービス提供事業者の間で行われるプロセス
- 上記1における利用者の行為を受けてサービス提供事業者内部で行われるプロセス
このうち、利用者が直接関係するのは上記1のプロセスです。3条Q&Aによれば、利用者が2要素認証をクリアしないと電子署名できない仕組みになっていれば、「十分な水準の固有性」を満たすと認められる といいます。
3条Q&Aの問2には、以下の解説が続きます。
①及び②のプロセスにおいて十分な水準の固有性を満たしているかについては、システムやサービス全体のセキュリティを評価して判断されることになると考えられるが、例えば、①のプロセスについては、利用者が2要素による認証を受けなければ措置を行うことができない仕組みが備わっているような場合には、十分な水準の固有性が満たされていると認められ得ると考えられる。2要素による認証の例としては、利用者が、あらかじめ登録されたメールアドレス及びログインパスワードの入力に加え、スマートフォンへのSMS送信や手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力を行うことにより認証するものなどが挙げられる。
3条Q&Aは、あえて「2要素認証」を求め、「2段階認証」では不十分としました。電子署名法3条の条文に定められた「符号及び物件」の要件のうち、「物件」を使った所持要素を求めているために、記憶(知識) × 記憶(知識)の組み合わせを排除できない2要素認証では足りないというわけです。
物件要素を含む2要素認証を実現するには、スマートフォン等のデバイスが必要ですが、「事業者署名型」で電子署名法3条の適用を受けるには2要素認証が必要と言われると、押印担当者にスマートフォンを貸与する必要が出てきます。
2.4 2要素認証はあくまで例示であり電子契約の要件ではない
さて、こうして3条Q&Aだけ読むと、あたかも2要素認証はマストのようですが、そうではありません。2要素認証は例示にすぎないことが政府により明らかにされており、以下の記事でもその点が説明されています。(参考:「電子署名法第3条Q&A」の読み方とポイント—固有性要件と身元確認・2要素認証の要否)
2020年11月17日付内閣府規制改革推進会議 デジタルガバメントワーキンググループ資料3-2-1の4ページに記された総務省・法務省・経済産業省による公式見解でも、利用者の身元確認(実際にその行為を行うユーザーが実在する特定の存在であることを確認すること)を行っているかどうかは、電子署名法3条の要件ではないことが確認されています。
2要素認証については、御指摘のとおり十分な水準の固有性を満たすための措置の例であり、同レベル又はそれ以上の固有性を満たす措置が他に存在するのであれば、これを排除するものではないが、電子署名法第3条においては「これを行うために必要な符号及び物件を適正に管理すること」と規定されていることに留意されたい。
つまるところ、電子署名法3条を満たすのに、「本人が自らの意思で電子署名していること」は必要であるが、「それを確認することまでは不要」と整理 できます。印鑑証明書は出させたとしても、本当に代表取締役社長本人が自らの意思で押しているかどうかまでは確認していない、ハンコの現実と同じ です。
3. SMSを用いた2要素認証は安全か
3.1 NISTが示したSMS認証の安全性に対する懸念
もう一つの問題が、電子契約サービスが採用している2要素認証の種類や方法によっても、安全な場合とそうでない場合がある、という点です。特に、SMSを用いた2要素認証には注意が必要です。
先ほど紹介した電子署名法3条Q&A(再掲)でも、2要素認証の方法として、
2要素による認証の例としては、利用者が、あらかじめ登録されたメールアドレス及びログインパスワードの入力に加え、スマートフォンへのSMS送信や手元にあるトークンの利用等当該メールアドレスの利用以外の手段により取得したワンタイム・パスワードの入力を行うことにより認証するものなどが挙げられる
と、SMSにワンタイムパスワードを送信する方法を一例として挙げていました。
しかし、これには一部から懸念の声も上がっています。というのも、米国政府機関であるアメリカ国立標準技術研究所(NIST)が定める「Electronic Authentication Guideline(電子的認証に関するガイドライン)」の最新版「NIST SP 800-63-3」を策定する議論の過程において、SMSへのコード送信は推奨されない認証方法( RESTRICTED authenticator)とされた経緯があるからです。
Currently, authenticators leveraging the public switched telephone network, including phone- and Short Message Service (SMS)-based one-time passwords (OTPs) are restricted. Other authenticator types may be added as additional threats emerge. Note that, among other requirements, even when using phone- and SMS-based OTPs, the agency also has to verify that the OTP is being directed to a phone and not an IP address, such as with VoIP, as these accounts are not typically protected with multi-factor authentication.
現在、電話やショートメッセージサービス(SMS)ベースのワンタイムパスワード(OTP)など、公衆交換電話網を活用した認証機能が制限されています。他の脅威が出現した場合には、他の認証方式が追加される可能性があります。電話やSMSベースのOTPを使用する場合でも、VoIPのようにIPアドレスではなく電話にOTPが送信されていることを確認する必要があることに留意してください。
3.2 トークンを用いた2要素認証がベター
ウェブサービスの認証方法として用いられることの多いSMS認証が、どうして危険なのでしょうか。
それは、SMSが古い通信ネットワークである公衆電話網を活用した仕組みであるために、これに侵入して認証情報を取得する「SMSインターセプト」と呼ばれるリスクが排除できない点にあります。
このような懸念に鑑みると、2要素認証の方法としては、
- スマートフォンのトークンアプリ
- ハードウェアトークン
を用いるのが適切と言えるでしょう。
こうした理由から、クラウドサインでは、スマートフォンのトークンアプリを活用する仕組みを2要素認証の手段として採用しています。
4. 電子契約では取引内容と相手に応じて2要素認証の必要性を判断する
BtoBの取引・契約では、契約締結にいたるプロセスで、十分な信頼関係が構築されているはずです。押印の際に必ずしも実印や印鑑証明書の提出を求めない相手に、2要素認証を求める必要があるケースは限定的と言えます。
一方で、一回性の高いBtoCの契約であったり、高額な金銭のやりとりを伴う契約では、2要素認証など一定の本人確認プロセスを経る必要があるケースも存在します。
結局は、「どんな関係の人と、どんな契約を締結するか」次第。慣れない電子契約だからといって抱えこむのではなく、紙とハンコの世界と同じように、取引内容と相手の状況に応じて必要性を判断すべきでしょう。重要な契約であれば、2要素認証だけではなく、アクセスコードを付与して独立の通信経路で共有する、リアルタイムで画面共有しながら電子契約を締結するといった安全策をとることも考えられます。
