認証方式にはいくつもの種類があります。なぜ、さまざまな認証方式が必要なのでしょうか? 業界、サービスにシステムが導入され、認証が必要な場面がどんどん増えています。自社のWebサイトやWebサービスでも、認証の導入を検討している担当者は多いでしょう。どのような認証方式を選ぶかは、WebサイトやWebサービスを安全かつスムーズに運用するための重要なポイントです。ここでは「認証方式の種類」と「認証方式の選び方」について説明します。
認証方式の重要性
まずは、「認証とはなにか?」、「なぜ認証が必要なのか?」について説明します。
認証とは?
認証とは、ログイン(サインイン)のときに次のようなアクセス制御を行うことです。
- アクセスしてきたユーザーが発行済のIDの持ち主であることを確認する
- ユーザー(ID)に、そのシステムやパソコン、サーバーへのアクセスを認可する(ログイン、サインイン)
- ユーザーにシステム上での操作の権限とその範囲を認める
- 権限が不要になったら、次のアクセスまでIDと権限を無効化する(ログアウト、サインアウト)
認証システムは、これらのアクセス制御を行うためのシステムです。
なぜ認証が必要なのか
認証は、WebサイトやWebサービスを不正アクセスやマルウェアの侵入などから防ぐために必要なものです。近年、業務にIT機器やシステムを利用したり、決済に結びつけたりするケースが増えてきました。その一方で、サイバー攻撃の数はますます増加し、方法も複雑化しています。そこで、セキュリティを強化し、情報や資産を守るためにも、強力な認証が求められています。狙われるのは大企業だけではありません。中小企業や個人もリスクは同じです。
サイバー攻撃については 「サイバー攻撃の種類と対策の基本とは?」 で詳しく解説しています。あわせてご覧ください。
認証の3要素
認証には、次の3つの要素があります。単独ではなく、組み合わせて利用する場合もあります。
知識
本人だけが知っていること。ものを所有する必要はないが、漏えいするリスクがある。
「パスワード」、「暗証番号」、「秘密の質問」など。
所有
本人だけが持っているもの。ものを所有する必要があり、紛失のリスクもある。
「IDカード」、「スマートフォン」、ワンタイムパスワードの「トークン」など。
生体
本人の身体の一部やそれに準ずる要素。所有する必要はないが、けがによって使えなくなる、プライバシー漏えいの恐れがあるなどのリスクがある。
「指紋」、「声」、「虹彩」など。
どのような認証方式があるのか
不正アクセスやマルウェアなどのサイバー攻撃の進化により、認証時の「なりすまし防止」は重要な課題となっています。現在では、認証技術もどんどん発達しています。続いては、主な認証方式の種類について説明します。
パスワード認証
ユーザーを「ID」と「パスワード」により認証するもので、インターネットの初期から使われている認証方式です。ほかの認証方式に比べて突破しやすいため、パスワード認証方式を対象とするサイバー攻撃は数多くあります。それらへの対応策として、パスワード認証にもさまざまなバリエーションが存在しています。
- 推奨パスワードの指定
パスワードの設定時に、「英字(大文字/小文字)、数字、記号を混在させること」、「 6 文字以上にすること」などの規定を設けて、複雑なパスワードの設定を促します。単純なパスワードを使えなくすることでブルートフォースアタック( Brute-force attack )を防ぎ、認証を強化します。 - PINコード
PIN( Personal Identification Number )コードはいわゆる暗証番号で、「数桁の数字の組み合わせ」を認証に利用します。単純で突破されやすいため、ほかの方式と組み合わせて使われるケースが多いと言えます。 ATM やスマートフォンなどで使われています。 - ワンタイムパスワード
1回しか使えないパスワードです。流出しても再利用はできないため、不正アクセスを防ぐことができます。ワンタイムパスワードの送信には、ハードウェアトークン(セキュリティトークン)の使用、タイムスタンプ方式、チャレンジ・レスポンス方式などがあります。 - ニーモニック認証
文字列ではなく、写真の組み合わせを使った認証方式です。ユーザーが写真を登録するため、突破されにくくなります。 - 秘密の質問
あらかじめ決めておいた質問と、その回答による認証方式です。あくまで補助的なもので、パスワードのリカバリーのようなケースでよく使われています。
CAPTCHA 認証
CAPTCHA ( Completely Automated Public Turing test to tell Computers and Humans Apart )認証とは、コンピューターと人間を識別するためのテストです。画面に「判別しにくい歪んだ文字列の画像」を表示し、その文字を入力させるのが代表的です。パズルを完成させるケースもあります。現在では、 AI が歪んだ文字列を認識できるようになっているため、あまり使われなくなってきました。
生体認証
指紋、顔、静脈、虹彩、声紋など、本人の身体から得られる生体情報の一部を登録し、認証する方式です。忘れたり紛失したりすることはありませんが、けがや事故により認証できなくなる可能性があります。また、不正アクセスの可能性もゼロとは言い切れません。
シングルサインオン
シングルサインオン( SSO 、 Single Sign On )は、 1 回の認証で複数のアプリケーションやサービスをシームレスに利用できる認証方式です。 1 日 1 回であれば、強固で面倒な認証であっても利用しやすくなる、というメリットがあります。システムごとにログインする必要がないため、ユーザーにとっては便利です。ただし、最初の認証には強固なものが求められます。
認証をより強固にするには
どの認証方式も完璧ではありません。より強固な認証を実現するには、いくつかの工夫が必要です。
2つ以上の認証方式を組み合わせるのが効果的
より強固な認証が必要な場合は、「複数の認証を組み合わせる」のが効果的です。ただし、「二段階認証」は同じ要素の繰り返しになるため、それほど強力な認証とは言えません。決済情報や金融情報などを扱う Web サイトでは、異なる要素を組み合わせた「二要素認証」を利用するのが基本です。
※二要素認証の詳細については、「 二要素認証とは?二段階認証よりも強力、安全性の高いサービスに 」を参照してください。
認証を強化するには、「リスクベース認証」と「プッシュ通知」(モバイル端末による認証)を組み合わせるのも効果的です。
- リスクベース認証
普段とは異なる端末やブラウザからアクセスした際に、通常の端末やブラウザにアラートを発信する認証方式です。普段使用していない環境からのアクセスにアラートを出すことで、「不正アクセス」や「なりすまし」に気づきやすくなります。 - プッシュ通知
パソコンで認証するだけでなく、 SMS (ショートメッセージサービス)やモバイルアプリへのプッシュ通知を併用することで二段階認証を実現し、より強固な認証になります。
スマートフォンを利用した認証
スマートフォンが高機能化したことにより、認証にもよく使われるようになりました。スマートフォンは「本人しか持っていないもの」であり、生体認証機能が搭載された機種も多いため、自然に二要素認証を実現できるからです。
スマートフォンを利用した認証には、次のようなものがあります。
- パソコンとスマートフォンを併用した二段階のパスワード認証
- スマートフォンをトークンとして利用したワンタイムパスワード
- スマートフォンの機能を利用した生体認証(指紋認証、顔認証など)
- SMSやモバイルアプリ、通話を利用した認証
認証方式をどう選ぶか
自社の Web サイトや Web サービスに認証機能を組み込むときは、次の 2 点がポイントになります。
ユーザビリティ
複雑な認証方式を利用したり、複数の認証方式を組み合わせたりすると、認証の強度は上がります。その一方で操作が面倒になるため、利便性は低下します。よって、「認証強度」と「ユーザビリティ」のバランスを取ることが重要になります。
コスト
システムの構築や認証方式の実装にはコストがかかります。強力な認証方式はコストも高くなりがちです。たいていの Web サイトや Web サービスでは、コストに応じて利用できる認証方式も限定されます。そのため、「どこで認証強度とコストとのバランスを取るか」が重要になります。
まとめ:認証方式は Web サービスの重要な仕様
従来の認証方式は、パスワードとそのバリエーションがよく利用されていました。現在では、サービス内容に応じて、より強固な認証方式が求められる場面が増えてきています。強固な認証方式を導入すると、「使いにくさ」と「高コスト」につながります。どの程度強固な認証方式が必要かは、仕様の一部としてよく考える必要があるでしょう。
認証方式の選定に不安がある場合は、セキュリティに関するソリューションを利用するという方法もあります。 CTC エスピー株式会社では、認証方式を含め、エンドポイントセキュリティに関するさまざまなソリューションを提供しています。安全な IT 運用に不安がある方は、ぜひご相談ください。
