検索
特集

多段階認証、多要素認証から不正アクセス対策を考える認証強化は誰のため?(1/4 ページ)

利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。

Share
Tweet
LINE
Hatena

 「認証」にまつわる攻撃が増えています。利用者本人を特定するために、IDとパスワードを用いた「パスワード認証」が一般的になる中、それを突破するために全ての英数字の組み合わせを試す「総当たり攻撃」、パスワードに利用されやすい文字列を試す「辞書攻撃」、本人から何かしらの手を使ってIDとパスワードを聞き出す「ソーシャルエンジニアリング」、別のサービスから流出したIDとパスワードを使った「パスワードリスト型攻撃」、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」といった、さまざまな攻撃による不正アクセスが流行しています。

 IDS/IPSやWAFには、これらの攻撃に対する対策機能もありますが、脆弱(ぜいじゃく)性を利用したクロスサイトスクリプティング(XSS)などの攻撃とは違い、これらの認証に対する攻撃を防ぐことは難しいのが現状です。いまできる対策としては、長く複雑なパスワードを利用すること、さらに使い回さないようすることなどが呼び掛けられています。

関連記事

「STOP!! パスワード使い回し!!」キャンペーン開始:

面倒だけど避けては通れない、いまこそ考える「パスワード使い回し対策」(@IT)

http://www.atmarkit.co.jp/ait/articles/1409/17/news094.html


 そこで、これらの認証に対する攻撃を、どう対処すべきなのかについて述べたいと思います。また、認証において多要素認証を実施することが推奨されていますが、実際にどういった効果があるのかについても一緒に考えてみます。

多要素認証、多段階認証とは

 多要素認証や多段階認証について語る前に、「認証」について振り返ってみましょう。

 「認証」とは、ユーザー総数(n人)の中から1人を識別(個人識別)し、識別された1人が確かに認証を行いたい本人であるかどうか検証(本人認証)することで、ユーザーを特定する作業のことをいいます。

 つまり、認証には「個人識別」と「本人認証」の二つの側面があるといえます。


図1 認証は「個人識別」と「本人認証」を含む

 識別を行うための情報は、ある程度の他者と重複しない性質(唯一性)と、ある程度変わらない性質(不変性)があればよいとされていますが、本人認証に用いられる情報は本人固有の情報(固有情報)である必要があります。固有情報とは、検証時に用いられる認証情報であり、主に生体情報、所持情報、知識情報に分類されます。これらを「認証の3要素」といいます。

要素 説明 固有情報 必要機器
生体情報(SYA;Something You Are) 生物固有の情報・特性 ・指紋
・静脈
・顔
・声紋
カメラ
マイク
指紋リーダー
静脈リーダー
知識情報(SYK;Something You Know) 本人しか知らない情報 ・パスワード
・ワンタイムパスワード
・秘密の質問
・属性情報(本人のみ知る情報)
キーボード
マウス
タッチパネル
所持情報(SYH;Something You Have) 本人しか持っていない情報やもの ・ICカード
・ハードウェアトークン
・携帯電話
・公的証明書
スキャナ
カードリーダー

生体情報とは「生物固有の情報」で「不変不動」

 生体情報は、主に顔や声紋、指紋、静脈などが用いられます。生物固有の情報であり、一般的に不同なものを利用します。本人以外が持ち合わせない情報であるため、原理的に極めて「なりすまし」が困難であり、高いセキュリティを実現できる認証方式で、現在「バイオメトリクス認証」や「生体認証」として研究されています。

 しかし、生体情報も「データ」であるため、生体情報を盗まれた際に、生体情報の「データ」を盗むことで認証を突破される危険性があります。また、生体情報は、個人の身体・行動にかかわる固有の情報であり、不変不同のものであるため、漏えいすると安全性を回復することが困難になります。

所持情報とは「本人しか持っていないもの」

 所持情報は、本人しか所持していないもののことをいい、主に身分証明書やクレジットカード、携帯電話、IC(Integrated Circuit)カードなどがあります。特にICカードは公開鍵暗号方式を応用して認証を行っており、公開鍵暗号方式における秘密鍵を、解析されにくいように、耐タンパ性を高めることで保護するなど、外部から秘密鍵を読み取れなくすることで、工学的に高いセキュリティが確保されます。

 しかし、所持情報は物理的なものであるため、紛失や盗難といった問題がつきまといます。

知識情報とは「本人以外が知り得ないもの」「コストが低い故に限界があるもの」

 知識情報は、本人しか知り得ない情報のことをいい、パスワード認証として最も普及・利用されている基本的な認証技術です。

 記憶するだけでよいため、汎用性が高くコストが低い情報です。しかし、忘却、漏えいの危険性が高く、漏えいに気付きにくいといった問題があります。特に、パスワード認証におけるパスワードには前述のようにさまざまな攻撃手法があり、セキュリティ的にはとても問題があるといえるでしょう。結果的に、パスワード認証だけ、知識情報だけで認証を行うには限界があると考えられます。

Copyright © ITmedia, Inc. All Rights Reserved.

       | 次のページへ

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る