パナソニックEWネットワークス > Solutions > コラム一覧 > 認証方式の種類を比較!それぞれの仕組みや選び方を解説
ここから本文です。
認証方式の種類を比較!それぞれの仕組みや選び方を解説
ネットワークシステム、入退室管理システム、カメラシステム構築に関するお問い合わせはこちら
コンピュータとサービスにおける認証とは
コンピュータ上のサービスやインターネットなどのネットワークサービスを提供するときに不可欠なものが「認証」です。認証は、一人ひとりのユーザを認識・特定し、一人ひとりのユーザに応じたサービスやデータを提供するためのものです。
認証は、ユーザを識別するための情報と、ユーザであることを確認するための情報を組み合わせることで行われます。つまりIDとパスワードです。ユーザの識別情報であるIDと、そのIDを持つ本人だけが知り得る情報であるパスワードをシステムに入力することで認証が行われます。
システム側では、誰にIDを発行し、そのIDにどのような権限を与えたかを管理し、認証が正常に行われれば、管理している情報に基づいてユーザに権限を与えます。ユーザごとに異なる権限を管理し、権限を超えた操作などは行えないようにすること、いわゆるアクセス制御もシステムの重要な役割です。
認証の重要性と必要な理由
コンピュータやネットワークの役割、重要性が大きくなるにつれて、認証が果たす重要性と役割も大きくなっています。特にコンピュータがネットワークで結ばれ、インターネットを通じて世界中とつながることが当たり前となった今、世界中の悪意を持った第三者からシステムやサービスを守るためのハードルとしての役割が加速度的に大きくなっています。
Webシステム、Webサービスに対するサイバー攻撃はもはや日常的なものとなり、攻撃の手法は複雑化・巧妙化しています。しかも対象は大企業や有名企業にとどまらないうえ、攻撃の出所はグローバルに拡大しています。認証を突破され、システムや情報が狙われると被害は自社だけにとどまらず、関係先や顧客にまで広がってしまいます。強力な認証でセキュリティを強化することは不可欠になっています。
認証要素について
認証は、コンピュータやインターネットでサービスを提供する際にきわめて大きな役割を担います。そのため最古の物理科学研究所といわれる「アメリカ国立標準技術研究所(NIST)」が認証についてのガイドラインをまとめており、世界中が参考にしています。このガイドライン「NIST SP800-63」では、認証の要素を「記憶(Something you know)」「所持(Something you have)」「生体情報(Something you are)」の3つに分類・定義しています。「知識情報」「所持情報」「生体情報」と呼ぶこともあります。ちなみにウェブサービスの認証でよく聞かれるようになった「多要素認証」は、この3つの要素のうち、2つ以上を組み合わせることをいいます。
記憶
「記憶」は、パスワードやPINコード、あるいは「秘密の質問」など、ユーザが記憶している情報です。メリットとして、正確で確実な認証が可能、機器などが不要で利便性が高い(変更も容易)などがありますが、デメリットとして、強度は使用する文字数・文字種に依存、総当り攻撃のリスク、漏洩や忘れてしまうリスクなどがあります。
所持
「所持」は、ICカードやハードウェアキー、スマートフォンのアプリなど、ユーザが所持している情報です。メリットとして、正確で確実な認証、低負荷(覚えておく必要がない)などがあります。デメリットとしては、常時携帯しなければならない、盗難・紛失のリスクがある、専用のハードウェアが必要、などがあります。
生体情報
「生体情報」は、指紋や虹彩、静脈、音声などです。最大のメリットは、記憶したり、所持する必要がないことです。デメリットとしては、専用の機器が必要なこと、システムによっては認証が確実ではなく過誤の可能性があること、なりすましの可能性がありますが、現在では低コストで信頼性の高い製品が登場しています。
Webサービスの認証で、パスワードに加えて、スマートフォンのアプリに送信されたワンタイムパスワードの入力を行うことは、「記憶」+「所持」で多要素認証(この場合は、2要素認証)となります。パスワード+秘密の質問は、どちらも「記憶」要素ですので、2段階認証となります。
認証方式の種類を比較
具体的な認証方式について、概要、メリット・デメリットなどを見ていきましょう。
パスワード
最も一般的な認証方式で、数桁の英数字や記号を組み合わせます。運用が簡単で、変更も容易などのメリットがありますが、強度は利便性とトレードオフになり、例えば、覚えやすさを優先した数字4桁のパスワードを利用した場合、4桁の数字の組み合わせは0000〜9999まで、1万通りしかなく、狙われた際には瞬時に破られてしまいます。
秘密の質問
「秘密の質問」は、英語で「secret question」あるいは「security question」と呼ばれるもので、例えば「あなたのペットの名前は?」「あなたの母親の旧姓は?」というような質問に対して、回答を設定しておきます。パスワードを忘れ、再設定を依頼するときなどにパスワードの代替手段として使われることがあります。
パスワードに比べると安全性が高いように思えますが、昨今ではSNS投稿などから類推されるリスクがあります。また漢字やひらがな、全角半角などの指定がないため、設定した本人が正しい回答を忘れてしまうリスクもあります。
PIN
PINは「Personal Identification Number」の頭文字で、日本語に訳すと「個人識別番号」となります。4桁の数字で運用されることが多いので、一見するとパスワードと同じように思えますが、大きな違いがあります。
パスワードはネットワークを通じてシステムに送られ、システム側で認証を行いますが、PINは入力した端末自体で端末に保存されたPINと入力されたPINを照合します。つまり、認証要素で整理すると、パスワードは「記憶」のみですが、PINは「記憶」と端末の「所持」を組み合わせた多要素認証になり、パスワードよりも強度は高くなります。
ワンタイムパスワード
ワンタイムパスワードは、1回きりのパスワード、使い捨てのパスワードです。毎回、異なるパスワードを使用するため、漏洩して使いまわされるリスクはきわめて低くなります。かつては専用のハードウェアを使ってワンタイムパスワードを生成する方法が主流で、紛失のリスクや初期投資がかかるなどのデメリットがありました。しかし、携帯電話、特にスマートフォンの普及が進むなか、携帯電話番号やメールアドレスに送付する、アプリケーションを使ってワンタイムパスワードを生成する方法が広がっており、費用を抑えて利用することが可能になっています。
指紋認証
指紋認証は、生体認証の代表的存在といえるでしょう。機器の小型化・高性能化が進み、スマートフォンやノートパソコンのロック解除に使われるようになったことで、身近なものになっています。
- 関連リンク:静脈認証とは?指紋認証との違いについても解説
顔認証
顔認証も指紋認証と同様に、スマートフォンのロック解除に利用されたことで普及が進んでいます。マスクをしていると認証できないことがありましたが、そうしたデメリットも解消されつつあります。
また生体認証には、指紋認証、顔認証のほかに虹彩や静脈を使ったものもあります。記憶や所持が不要、偽造は困難、顔認証はタッチレスで認証可能などのメリットがあります。
ニーモニック認証
文字列ではなく、画像を使った認証方式です。複数の画像を登録し、それらを選択することで認証を行います。文字列を使ったパスワードは、複雑にするとセキュリティは向上しますが覚えにくく、忘れてしまうリスクが高まります。ニーモニック(mnemonic)は「記憶を助ける」という意味があり、ユーザがすでに記憶している画像を利用することが大きな特徴です。
CAPTCHA認証
アルファベットや数字が並んだ画像(しかも文字認識ソフトが対応できないよう、わざと読みにくくなっている)を表示して入力させたり、複数の画像の中から回答にあてはまる画像を選択させる認証方式です。サイバー攻撃では、攻撃用ソフトウェアがランダムにIDとパスワードを入力するなどして、不正ログインを試みます。CAPTCHA認証は、ソフトウェアによる自動入力ではなく、人間が入力していることを確認する認証方式で、ソフトウェアを使った不正ログインを防止することができます。一方、アルファベットや数字がうまく読み取れないなど、ログインの負荷が高くなるケースもあります。
シングルサインオン
シングルサインオン(Single Sign On)は、シングル、つまり1回の認証によって複数のシステムやサービスの利用(ログイン)が可能になる認証方式です。複数のシステムやサービスを使う場合、それぞれでID、パスワードを用意し、認証を行うことはユーザにとって負荷になります。シングルサインオンなら、1つのID、パスワードで利用が可能になるうえに、認証の手間も1回で済み、ユーザの手間を減らすことができます。
認証システムの運用と管理
IDの管理
IDの管理は、単にシステムを利用するユーザを把握することだけではありません。ID管理は、IDが付与されたユーザ一人ひとりに対して、システムを利用するための権限を与え、利用できる範囲を設定することを意味します。システムを安全に運用するためには、正確で確実なID管理が不可欠になります。
企業であれば、IDに応じてアクセス可能なシステムの範囲・レベルは異なります。例えば、一般社員とマネジメント層ではアクセスできる情報のレベルは異なります。また部署や部門によってアクセスできる情報が違ってくるケースもあります。ID管理は企業の人事はもちろん、ビジネス戦略とも密接に関わってきます。
多くの社員のIDを正確に厳重に管理することは大切なことですが、同時に、日々変化するビジネス環境に応じて、一人ひとりのIDに付与する権限を迅速に変更できることも重要です。また昨今、DX(デジタルトランスフォーメーション)の進展とともに、クラウドの活用も進み、社内のオンプレミスのシステム、クラウドのシステム、さらには外部サービスなどを使いこなすような事例も増えています。そうした場合、システムごとに個別にIDを設定していては、管理は複雑化し、トラブルやエラーの要因になります。ID管理においても、時代の要請に応じた、新たな手法が必要になっています。
パスワードの管理
パスワード管理は、ユーザに依存する面が大きいですが、ユーザのパスワード管理が不十分で、情報などが漏洩してしまった場合、企業は大きなダメージを受けます。パスワードの管理については、徹底したユーザ教育が必要になりますが、「パスワードを付箋に書いて貼っている」などは、笑い話とされる一方で、まだまだ現実の問題として残っています。
信頼性・安全性の高いパスワード管理を確実に実現するためには、利用者に負担をかけず、人的な努力を必要としない方法を検討する必要があります。
現在では、一度の認証で複数の必要なサービスにログインできる「シングルサインオン」やセキュリティ強度の高い多要素認証などを実現するクラウド型の管理システムが登場しています。IDの追加・修正なども一括管理可能になっています。
より強固な認証を実現するには?
さまざまな認証方式が登場し、実装されていますが、攻撃者側の技術も日々向上しています。より強固な認証を実現するための手法を見ていきましょう。
認証方式を組み合わせる(二要素認証)
より強固な認証を実現するためには、「複数の認証を組み合わせる」ことが有効です。いわゆる「二要素認証」です。二要素認証とは、冒頭の「認証要素について」で紹介した「記憶」「所持」「生体情報」のうち、2つの要素を組み合わせて使う認証方式をいいます(3つの要素を組み合わせる場合も含めて、「多要素認証」と呼ぶこともあります)。
例えば、身近な事例では銀行のATMを利用する際は、キャッシュカードを入れ、暗証番号を入力します。キャッシュカードは認証要素の「所持」で、暗証番号は「記憶」になります。「所持」と「記憶」の2つの要素を組み合わせて使用しています。
似た用語に「二段階認証」があります。パスワードに加えて、「秘密の質問」などを入力する方式です。2つのステップを踏むことは二要素認証と同じですが、認証要素でいえば、どちらも「所持」にあたり、二要素認証と比べると、安全性は低くなります。
スマートフォンを利用する
二要素認証のツールとしてスマートフォンを利用すると、安全性をより高めることができます。例えば、スマートフォンを利用した二要素認証では、Webサービスや業務システムにログインする際に、パスワードを入力した後、さらにスマートフォンの専用アプリに表示されたパスワードやSMSで送信されてきたパスワードを入力します。最初のパスワードは認証要素の「記憶」で、スマートフォンに表示あるいは送信されたパスワードは「所持」にあたります。「記憶」と「所持」の2つの要素を使用する「二要素認証」ですが、スマートフォン自体も利用する際に認証が求められます。従来はパスワードの入力が主流でしたが、今では指紋認証や顔認証などの生体認証の利用が進んでいます。セキュリティの強化が進むスマートフォンを二要素認証のツールとして利用することで、二要素認証の安全性がより高まります。
認証方式を選ぶ際のポイント
WebシステムやWebサービスの認証システムを選ぶ際には、どのような点に気をつければよいでしょうか。重要なポイントは「ユーザビリティ」と「コスト」です。それぞれ見ていきましょう。
ユーザビリティで選ぶ
IDとパスワードによる認証に「秘密の質問」を加えた二段階認証を行ったり、スマートフォンを使った二要素認証を行うと認証の安全性は高まります。しかし、その一方でユーザの手間は増え、負荷は高くなります。認証の安全性とユーザビリティのバランスが重要です。
例えば、二要素認証にスマートフォンを利用すると、スマートフォンを忘れた時は認証は不可能になり、利便性は大きく低下します。しかし、現実には多くの人はスマートフォンを常に持ち歩いていて、忘れるリスクはほとんどありません。パスワードを受信する専用カードを使うことに比べると、スマートフォンの利用は安全性が高いうえ、ユーザビリティも高く、きわめて合理的です。
コストで選ぶ
複雑な認証方式の導入や、複数の認証方式を組み合わせることにはコストがかかります。スマートフォンを使った二要素認証も、ほとんどの人がスマートフォンを所有するようになったため可能になった認証方式です。ユーザビリティに加え、導入コスト、運用コストは認証システムを選ぶ際の大きなポイントになります。
スイッチングハブの認証・認証サーバに関するお問い合わせはこちら
パナソニックEWネットワークスは、幅広い事業展開と豊富な実績で製品からワークプレイスの活用提案までトータルでサポートするマルチソリューションカンパニーです。業務効率化を推進するための最先端かつ強固なネットワーク環境から、ICカードや顔認証システムを取り入れた入退室管理システムなど、先進の認証システム、セキュリティシステムなどを幅広く提案いたします。お問い合わせはこちら。
認証は重要なビジネス基盤
ネットワークの活用がますます進むなか、「認証」はあらゆるサービスを提供、あるいは利用するための第一歩となります。安全で確実な認証は、まさにビジネスの基盤。十分なセキュリティを維持しつつ、次々と登場する新しいサービスや機能に対応する柔軟性・スピードも不可欠です。
