多段階認証、多要素認証から不正アクセス対策を考える:認証強化は誰のため?(4/4 ページ)
利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。
リスクベース認証の実装においては、アクセス時に取得可能なCookieやブラウザーの種類、IPアドレスから特定したISPを記録しておく必要があります。これを蓄積することで、普段のアクセスとは違った情報を持つアクセスについては、リスクがあるアクセスだと判断することができます。
判断の結果が怪しい場合に初めて、多要素認証、多段階認証で追加認証を実施する手法が一般的ですが、実際に導入するにはどうすればよいかわからず、頭を悩ますことでしょう。そこで、OSS(オープンソースソフトウェア)のアクセス管理ソフトウェアである「OpenAM」を用いた導入を検討してみます。
「OpenAM」とは?
「OpenAM」とはシングルサインオンなど、多数の認証機能を有したアクセス管理ソフトウェアです。これまでサン・マイクロシステムズによって開発が進められていた「OpenSSO」の後継に当たります。
関連記事
OSSによるアイデンティティ管理(2):
不正ログインを食い止めろ! OpenAMで認証強化(@IT)
http://www.atmarkit.co.jp/ait/articles/1310/17/news003.html
OpenAMコンソーシアム
「OpenAM」に実装されている機能の中にリスクベース認証があり、これを利用することで、リスクベース認証を実装することができます(図3)。
具体的には「OpenAM」のモジュールとして実装されている「アダプティブリスク」を設定することで、アクセス状況やIPアドレス、ブラウザー情報、アクセス元の地理的情報などのうち、どれを利用するのか設定することができます。
チェック項目 | 内容 |
---|---|
認証失敗 | ユーザーが過去に認証失敗しているか |
IPアドレスレンジ | 指定した範囲内にクライアントのIPアドレスが存在するか |
IP履歴 | 過去のログイン履歴の中にクライアントのIPアドレスが存在するか |
最終ログインからの経過時間 | ユーザーが最後に認証した時刻からの経過時間 |
プロファイル属性 | ユーザープロファイルの一致する属性と値のチェック |
位置情報 | アクセス元の位置情報をチェック |
リスクヘッダー | ヘッダーのチェック |
Cookie | 指定した名前もしくは正しい値を持ったCookieがリクエストにあるかチェック |
表 OpenAMで実装されているアダプティブリスクのチェック項目例 |
さらに、多要素認証や多段階認証に必要な機能も有しており、リスクベース認証を行う場合に追加で認証を実施することもできます。例えば、モジュールの「HOTP」を組み合わせることで、メールアドレスや電話番号へワンタイムパスワードを発行することも可能です。しかし、先にも述べたように追加で認証を行う際にはユーザーへの負担、利便性の低下など、影響を考慮する必要があるでしょう。
リスクベース認証、検知後の対応は?
リスクベース認証で不正アクセスを検知しても、その後の対応に悩まされるのではないでしょうか。Yahoo! での実例のように、リスクベース認証で怪しいと判断されてもそのままログインを実施するといった方法も考えられますし、その逆で怪しいと判断されたものはすべて認証を拒否することも考えられるでしょう。
さらに多要素認証・多段階認証として
- 秘密の質問や第2のパスワードを登録しておき、多段階認証時に活用する方法
- 登録メールアドレスへワンタイムパスワードを送信して認証を行う方法
- ログイン後の行動履歴からユーザー本人が答えられる問題を作成する方法
などが挙げられます。
しかし、1.だとパスワード認証を2度にわたって実施するのとほぼ同等であるため、パスワードと同様のセキュリティが求められ、ユーザーに2種類のパスワードを覚えてもらう必要があります。2.には主だった問題は見受けられないものの、メールアカウントのセキュリティが問題視されます。3.はFacebookのような「友達当てクイズ」がありますが、公開されている情報を基に作成すると、特定することも可能になるといったデメリットも存在します。また、多要素認証、多段階認証を実施すると利便性の低下が懸念され、付加認証を実施せずアクセスを拒否すると正規のユーザーであった場合にアクセスできないといった問題が発生してしまいます。
リスクベース認証の導入は、不正アクセスの「検知」にも役立つ
個人情報や機密情報、金銭にかかわらない部分に関しては、リスクベース認証で検知されてもそのままログインを実施することも対策の一つだといえます。実は、リスクベース認証のもう1つの役割は、不正アクセスの監視の実施であり、より素早く不正アクセスを検知できることなのです。そうすることで、インシデントを最小限に抑え、不正アクセス発覚後に迅速に対応できるようになります。そのためにも、弱いパスワードを狙った攻撃やパスワードリスト型攻撃への準備としてリスクベース認証や多段階認証・多要素認証を導入する必要があるのではないでしょうか。
今回はオープンソースソフトウェアとして提供される「OpenAM」を紹介しましたが、他にも多くのベンダーからさまざまな製品が提供されています。各種のツールがさまざまな分析手法でリスクベース認証を実装していますので、システムの安全性を確保するために導入を検討してみてはいかがでしょうか。
陣内 帝(じんない みかど)
セキュリティ&プログラミングキャンプ2010 OS組 卒業、セキュリティ・キャンプ全国大会2014に参加。
キャンプに参加したことがきっかけでセキュリティに興味を持ち、情報セキュリティ関係の企業へ就職。
現在、監視業務に従事。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- いま、高まるアイデンティティ管理の重要性
加速するクラウドの普及と相まって、増加し続けるIDとパスワード。アイデンティティ情報に関わる運用コストの増加や不正アクセスなどの問題は、多くの企業にとって悩みの種となっています。導入費用を抑えてこれらの問題を対策するためには、OSSによるアイデンティティ管理システムの導入が有効です。 - 不正ログインを食い止めろ! OpenAMで認証強化
多発するパスワードリスト攻撃による不正ログインに対しては、リスクベース認証やワンタイムパスワード認証を含む多要素認証が効果的です。今回はオープンソースのアクセス管理ソフトウェアであるOpenAMの概要と、OpenAMが提供するリスクベース認証(アダプティブリスク認証、デバイスプリント認証)、ワンタイムパスワード認証(OATH/YubiKey認証)について解説します。 - OpenIG、OpenDJと連携したOpenAMの新機能
今回は、OpenAMの姉妹製品で既存アプリケーションを改修せずにシングルサインオンを可能にする「OpenIG」と、OpenAMのデフォルトデータストアである「OpenDJ」について解説します。 - 面倒だけど避けては通れない、いまこそ考える「パスワード使い回し対策」
パスワードはなぜ使い回されるのか。IPAとJPCERT/CCはパスワード使い回しの現状を解説し、利用者とサービス事業者に向け、新たなキャンペーンを開始する。