多段階認証、多要素認証から不正アクセス対策を考える:認証強化は誰のため?(1/4 ページ)
利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。
「認証」にまつわる攻撃が増えています。利用者本人を特定するために、IDとパスワードを用いた「パスワード認証」が一般的になる中、それを突破するために全ての英数字の組み合わせを試す「総当たり攻撃」、パスワードに利用されやすい文字列を試す「辞書攻撃」、本人から何かしらの手を使ってIDとパスワードを聞き出す「ソーシャルエンジニアリング」、別のサービスから流出したIDとパスワードを使った「パスワードリスト型攻撃」、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」といった、さまざまな攻撃による不正アクセスが流行しています。
IDS/IPSやWAFには、これらの攻撃に対する対策機能もありますが、脆弱(ぜいじゃく)性を利用したクロスサイトスクリプティング(XSS)などの攻撃とは違い、これらの認証に対する攻撃を防ぐことは難しいのが現状です。いまできる対策としては、長く複雑なパスワードを利用すること、さらに使い回さないようすることなどが呼び掛けられています。
関連記事
「STOP!! パスワード使い回し!!」キャンペーン開始:
面倒だけど避けては通れない、いまこそ考える「パスワード使い回し対策」(@IT)
http://www.atmarkit.co.jp/ait/articles/1409/17/news094.html
そこで、これらの認証に対する攻撃を、どう対処すべきなのかについて述べたいと思います。また、認証において多要素認証を実施することが推奨されていますが、実際にどういった効果があるのかについても一緒に考えてみます。
多要素認証、多段階認証とは
多要素認証や多段階認証について語る前に、「認証」について振り返ってみましょう。
「認証」とは、ユーザー総数(n人)の中から1人を識別(個人識別)し、識別された1人が確かに認証を行いたい本人であるかどうか検証(本人認証)することで、ユーザーを特定する作業のことをいいます。
つまり、認証には「個人識別」と「本人認証」の二つの側面があるといえます。
識別を行うための情報は、ある程度の他者と重複しない性質(唯一性)と、ある程度変わらない性質(不変性)があればよいとされていますが、本人認証に用いられる情報は本人固有の情報(固有情報)である必要があります。固有情報とは、検証時に用いられる認証情報であり、主に生体情報、所持情報、知識情報に分類されます。これらを「認証の3要素」といいます。
| 要素 | 説明 | 固有情報 | 必要機器 |
|---|---|---|---|
| 生体情報(SYA;Something You Are) | 生物固有の情報・特性 | ・指紋 ・静脈 ・顔 ・声紋 |
カメラ マイク 指紋リーダー 静脈リーダー |
| 知識情報(SYK;Something You Know) | 本人しか知らない情報 | ・パスワード ・ワンタイムパスワード ・秘密の質問 ・属性情報(本人のみ知る情報) |
キーボード マウス タッチパネル |
| 所持情報(SYH;Something You Have) | 本人しか持っていない情報やもの | ・ICカード ・ハードウェアトークン ・携帯電話 ・公的証明書 |
スキャナ カードリーダー |
生体情報とは「生物固有の情報」で「不変不動」
生体情報は、主に顔や声紋、指紋、静脈などが用いられます。生物固有の情報であり、一般的に不同なものを利用します。本人以外が持ち合わせない情報であるため、原理的に極めて「なりすまし」が困難であり、高いセキュリティを実現できる認証方式で、現在「バイオメトリクス認証」や「生体認証」として研究されています。
しかし、生体情報も「データ」であるため、生体情報を盗まれた際に、生体情報の「データ」を盗むことで認証を突破される危険性があります。また、生体情報は、個人の身体・行動にかかわる固有の情報であり、不変不同のものであるため、漏えいすると安全性を回復することが困難になります。
所持情報とは「本人しか持っていないもの」
所持情報は、本人しか所持していないもののことをいい、主に身分証明書やクレジットカード、携帯電話、IC(Integrated Circuit)カードなどがあります。特にICカードは公開鍵暗号方式を応用して認証を行っており、公開鍵暗号方式における秘密鍵を、解析されにくいように、耐タンパ性を高めることで保護するなど、外部から秘密鍵を読み取れなくすることで、工学的に高いセキュリティが確保されます。
しかし、所持情報は物理的なものであるため、紛失や盗難といった問題がつきまといます。
知識情報とは「本人以外が知り得ないもの」「コストが低い故に限界があるもの」
知識情報は、本人しか知り得ない情報のことをいい、パスワード認証として最も普及・利用されている基本的な認証技術です。
記憶するだけでよいため、汎用性が高くコストが低い情報です。しかし、忘却、漏えいの危険性が高く、漏えいに気付きにくいといった問題があります。特に、パスワード認証におけるパスワードには前述のようにさまざまな攻撃手法があり、セキュリティ的にはとても問題があるといえるでしょう。結果的に、パスワード認証だけ、知識情報だけで認証を行うには限界があると考えられます。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
いま、高まるアイデンティティ管理の重要性
加速するクラウドの普及と相まって、増加し続けるIDとパスワード。アイデンティティ情報に関わる運用コストの増加や不正アクセスなどの問題は、多くの企業にとって悩みの種となっています。導入費用を抑えてこれらの問題を対策するためには、OSSによるアイデンティティ管理システムの導入が有効です。
不正ログインを食い止めろ! OpenAMで認証強化
多発するパスワードリスト攻撃による不正ログインに対しては、リスクベース認証やワンタイムパスワード認証を含む多要素認証が効果的です。今回はオープンソースのアクセス管理ソフトウェアであるOpenAMの概要と、OpenAMが提供するリスクベース認証(アダプティブリスク認証、デバイスプリント認証)、ワンタイムパスワード認証(OATH/YubiKey認証)について解説します。
OpenIG、OpenDJと連携したOpenAMの新機能
今回は、OpenAMの姉妹製品で既存アプリケーションを改修せずにシングルサインオンを可能にする「OpenIG」と、OpenAMのデフォルトデータストアである「OpenDJ」について解説します。
面倒だけど避けては通れない、いまこそ考える「パスワード使い回し対策」
パスワードはなぜ使い回されるのか。IPAとJPCERT/CCはパスワード使い回しの現状を解説し、利用者とサービス事業者に向け、新たなキャンペーンを開始する。