メニュー

認証の基本:認証システムの基礎知識2

認証システムの基礎知識

更新日:2019年11月27日(初回投稿)
著者:アルテア・セキュリティ・コンサルティング 代表 二木 真明

前回は、認証の役割と、認証に対する脅威について説明しました。今回は、認証の基本的な考え方と、最も一般的な認証方式である暗証番号やパスワードを使った認証について解説します。

今すぐ、技術資料をダウンロードする!(ログイン)

1. 認証のための要素

第1回でも述べたように、認証とは、アクセスしようとしている相手が、間違いなく正式に認められた本人(または機器やサービス)であることを確認するためのステップです。このため認証システムは、アクセスしてきた相手に対して、利用者識別用のIDと同時に、正当性を証明する情報を要求します。この情報を認証要素と呼びます。

図1:利用者識別と正当性の確認

図1:利用者識別と正当性の確認

例えば、暗証番号やパスワードも認証要素の一つです。これらは、正当な利用者しか知り得ない知識をもとに正当性を確認するものです。一方、電子証明書、スマートカード、ワンタイムパスワード発生機などを利用した認証は、利用者がそれを持っていること(所有)を前提に正当性を確認します。指紋、掌紋、静脈、虹彩(こうさい)などのパターンを利用する生体認証も、同じく所有を前提とします。これらは、人間を対象としているため、より厳密に本人性を確認できます。

しかし、こうした認証要素も完璧ではありません。知識は漏えいや推測によって第三者に渡る可能性があります。また、所有しているものについても、盗難や偽造の可能性がつきまといます。

認証システムは、こうした認証要素を利用して、アクセスを許可するかどうかを決定します。ただし、不正な利用を防ぐため、必要に応じて複数の方式を組み合わせることで、リスクを軽減する場合もあります。これを、多要素認証といいます(詳しくは第4回で解説します)。

知識による認証の多くは、特別な機器を必要としないため、比較的低いコストで構築することができます。一方、ワンタイムパスワード発生機など、専用の機器が情報を発生させ、それをベースとした認証では、機器を全ての利用者に配布するためのコストが発生します。また、指紋など、生体的な特徴を使用する場合、けがや障害などの影響を受ける可能性や、プライバシーへの配慮が必要となります。

認証を設計する場合、システムの機能や、扱う情報の重要性に加え、先に述べたような脅威や、導入のコストなどを考慮した上で、適切な認証要素(またはその組み合わせ)を選ぶ必要があります。

表1:さまざまな認証要素

表1:さまざまな認証要素

2. 暗証番号やパスワードによる認証

知識をもとにした認証で最も普及しているのが、パスワード(パスフレーズ)や暗証番号です。パスワード認証は、ほとんどのシステムやサービスで採用されており、仕事や生活のあらゆる局面で利用されています。パスワード認証の仕組みは、ほとんどのコンピュータOSや開発用フレームワークに標準実装されているため、追加のコストなしで実装できることが普及の大きな理由です。パスワードや暗証番号による認証では、以下の前提で利用者を認証します。

・前提1:パスワードや暗証番号は利用者本人のみが知っていること(秘密性)

・前提2:パスワードは簡単に推測、推定できないこと(複雑性)

そのため、この前提のいずれかが破れれば、パスワード認証の安全性は損なわれてしまいます。仮に、前提1が崩れた状況を考えてみましょう。

・パスワードをうっかり他人に教えてしまった

・パスワードをふせんに書いて机に貼っておいた

・パスワードを書いた手帳を紛失した

・肩越しにパスワードの入力を盗み見された

・ログインの際に入力したパスワードを含む通信を盗聴された

これらは、いずれも典型的な例です。このように、パスワードの秘密性が損なわれてしまうと、認証の安全性が大きく低下します。特に、こうした状況に利用者本人が気付いていない場合、システムを不正利用される危険性が高まります。一方、利用者が気付いた場合は、パスワードを変更することによって、当面の危険回避が可能です。また、定期的にパスワードを変更すれば、気付かなかった場合のリスクも、ある程度は軽減できるでしょう。

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

  • カタログバナー
  • セミナー12月
  • 販促_無料出展

ピックアップ記事

tags

  • 特集バナー1202_01
  • 特集バナー1202_02
  • 特集バナー1202_03
  • 特集バナー1202_04
  • 特集バナー1125_01
  • 特集バナー1125_02
  • 特集バナー1125_03
  • 基礎知識一覧