情報セキュリティマネジメント試験対策(15)認証(1)「認証の基本」

スポンサーリンク
IT系
  • 識別=どのユーザか。認証 = そのユーザは本物か。
    認可 (権限管理)=そのユーザに何をさせていいか
  • ハッシュ値を使うことで、パスワードや鍵を送信せずに認証できる。 ハッシュ関数は一方向関数
  • PKI=デジタル署名の公開鍵の真正性を、 第三者機関が裏付けるしくみ

認証の基本

アクセスコントロールと認証システム

ユーザの識別認証権限管理を行うことをアクセスコントロールとよぶ。アクセスコントロールを行っているかどうかが、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)の保護対象になるかどうかを決める要素になっているなど、現在では非常に重要な概念である。

このアクセスコントロールを実装したシステム構成を認証システムという。

識別

どのユーザがアクセスしようとしているか認識することである。 ユーザを識別することによって、そのユーザのシステム利用の可否、機能やデータの使用に際しての権限を判断することができる。通常、ユーザIDを用いて確認する。

認証

ネットワークシステムを利用するユーザが、確かにその本人であり、正当な利用権限を保持しているか否かを確認するための行為である。それ自体は特に新しい概念ではないが、ネットワーク上の認証は相手を確認するための方法に工夫が必要である。

認証の方法には、ユーザがパスワードなどの本人にしか知りえない情報を知っているかどうかで本人であることを確認する、知識による認証や指紋や声紋などの本人に固有の生体情報をもって本人確認するバイオメトリクス認証などがある。

認可

識別されたユーザがアクセスしてよいデータとそうでないデータを区分けし、アクセスしてはいけないデータにはアクセスできないようにユーザの権限(アクセス権)を設定してコントロールすることを指す。ユーザー人一人について権限を設定する以外にも、ユーザの所属するグループごとに権限を設定することで効率よく権限管理を行うこともできる。

パスワード認証

ユーザIDとパスワードを組み合わせたパスワード認証は最も基本的な認証技術である。システムへの実装も簡易なため、多くのマシン、システムで利用されている。

クリアテキスト認証(パスワード認証)

古くからあるパスワード認証方法である。ログインする際にサーバに対して平文でユーザIDとパスワードを送信する。 PPPにおけるPAP254などがこの方式を採用している。

もともとは、一台のコンピュータにおいてローカルノード内のプロセス間通信で行われていたモデルをクライアントサーバ方式に拡張したものである。そのため、ネットワーク上の盗聴に対しての対策に欠ける。

クリアテキスト認証ではブロードキャストドメインの中に存在するノードは、他ユーザのユーザIDとパスワードをスニファすることが可能である。セキュリティ強度の低いモデルである。

チャレンジレスポンス認証

パスワード認証がネットワーク上で利用されるようになったのを受けて、クリアテキスト認証の脆弱性を解消したのがチャレンジレスポンス認証である。チャレンジレスポンス認証では、次の3段階の手順を踏んで認証が行われる。

  1. クライアントがユーザIDを送信する
  2. サーバはチャレンジコードをクライアントに返信する
  3. クライアントはハッシュ値をサーバに返信する

この手順中でパスワードがネットワーク上を流れないことに注目しよう。

サーバではチャレンジコードを生成しクライアントに返信する。

クライアントとサーバは互いに保存しているパスワードとこのチャレンジコードからハッシュ値を生成しており、今度はクライアントがサーバにハッシュ値を返信する。 サーバは自分が計算したハッシュ値と、クライアントから送られたハッシュ値を突き合わせることでユーザ認証を行う。

チャレンジレスポンスの利点

この方法ではチャレンジコードとそれによって生成されるハッシュ値しかネットワーク上を流れない。チャレンジコードは使い捨てにされるため、仮に盗聴されたとしても次回のログイン時にはチャレンジコードが変わり、クラッカーは不正なアクセスを実行することができない。

最初に登録するパスワードが漏れないように、実際にはチャレンジコードやハッシュ値を暗号化して送受信することでさらにセキュリティ強度を高めて運用する。チャレンジレスポンス認証を採用した実装技術としてCHAPがある。

リスクベース認証

利便性を保ちつつ、セキュリティ水準を高めるため、ログインの文脈 (コンテキスト) を評価するやり方である。 ここで言う「文脈」とは、「ふだんと違う」「怪しい」といった意味である。その根拠に使われる具体的な情報には、IPアドレスや位置情報、利用するブラウザの種類、登録済みデバイスかどうか、プロキシの有無、利用頻度、利用時間などがある。リスクが高いと判断した場合のみ追加認証を求めたり、アクセスを拒否したりする。 例えば、普段と異なるパソコンや普段と異なる場所からログインしようとすると、通常はパスワードだけでログインさせてくれるのに、スマホにメッセージとして送られてくるリンクを踏まされた経験があるかもしれない。こうした追加の認証を求める手法がリスクベース認証にあたる。「普段と異なる通信経路からログインしようとする」ことをリスクが高いとみなしているわけである。

KYC

何らかのサービスにおいて、メールアドレスの実在性を確認してからそのサービスを提供し始めるのは一般的なことである。(アドレスにメールを送ってちゃんと届けば確認完了)。しかし、ここで行われているのはいわゆる「当人認証」である。「当人認証」では、今パソコンの前で作業をしている人が、そのメールアドレスを運用している人であることが確認できるだけである。

ここで覚えておきたい用語がKYCである。 KYCはKnow Your Customerの略語で、本人確認の意味である。 本人確認には、「当人認証」だけでなく、身分証などで住所や氏名を確かめる「身元確認」もある。KYCは、当人認証だけ行うのが適切な場合、身元確認のみでよい場合、両方行わなければならない場合があり、状況に応じてそれぞれ使い分ける。

(参考)令和08年 情報セキュリティマネジメント 合格教本 岡嶋 裕史(著)技術評論社


コメント

タイトルとURLをコピーしました