2要素認証
なりすましを防ぐために、認証方法 (知識認証・所有物認証・生体認証)のうち、 異なる認証方法を2つ組み合わせる方法である。例えば、料金支払いの際に、 クレジットカード (ICカード)で所有物認証を行うだけでなく、暗証番号 (PIN)で知識認証を行い、安全性を高める。
利用者認証は、認証方法により、知識認証・所有物認証・生体認証の3つに分けられる。
- 知識認証:本人のみが知る情報により認証する。
- 所有物認証:本人のみが持つ物により認証する。
- 生体認証:本人のみがもつ身体的特徴・行動的特徴により認証する。
2要素認証と2段階認証
関連する用語の違いは、以下の通りである。
- 2要素認証 : 異なる認証方法を2つ組み合わせる方式。
- 2段階認証: 同一の認証方法を2つ組み合わせる方式。
所有物認証の例
2要素認証の例を挙げる。 パスワードによる知識認証に加え、次の4つのうちのひとつを対象に、ログイン先から認証キーが送信される。受け取った利用者は、この認証キーをログイン先の画面に入力することで、それを持っているという所有物認証となる。
- スマートフォンのアプリ
- メール
- SMS
- 携帯用トークン
また、認証キーはワンタイムパスワードでもある。 その入力作業を所定の時間内に行うことで、利用者が今、入力したことが確かめられる。 ただし、それらを紛失した場合、認証キーを画面に入力できなくなり、結果としてログインできなくなるという課題がある。
相互牽制
誤りや不正行為を防止するために、以下のことを行う。
- 職務を分離し、ダブルチェックにより互いに確認し合い、相互牽制を行う。
- 相互牽制を行っていることを周知徹底し、抑止効果を狙う。
相互牽制が機能していない現状を出題させたり、 その改善策を問うたりする設問が出題される。 具体的には、以下の通りである。
ダブルチェックによる相互牽制が機能しない例
- X業務をやりっ放しで、その後に承認を受けるプロセスがない場合。
- Xデータ入力について、1人で、入力権限をもち、かつ承認権限ももつ場合。
- X利用者IDの管理について、1人で、操作権限をもち、かつ承認権限ももつ場合。
周知徹底の目的
相互牽制を行っていることを広く知らせて、情報共有する目的は、以下の通りである。
- 情報を不正に社外に持ち出すのが難しいことがわかるから。
- 不正を隠し通せないことがわかるから。
(参考)
情報処理教科書 出るとこだけ!基本情報技術者[科目B]第4版 橋本 祐史 (著) 翔泳社
コメント