1.多要素認証(Multi-Factor Authentication)とは?
多要素認証について理解するためには、いくつかの前提知識を理解しておくことが必要です。
そこで、まず最初に前提知識について記載します。
1.1 認証(Authentication)と認可( Authorization)
まずは認証と認可に記載したいと思います。言葉が似ているのでごっちゃに理解されている方もいるかもしれませんが(はい、私です)、意味は異なりますので注意しましょう。
簡単にまとめるとそれぞれ下記の通りです。
簡単にまとめるとそれぞれ下記の通りです。
・「認証」とは本人であることを確認する行為
・「認可」とはリソースに対するアクセス権限を与える行為
例)サーバにログインすることによって(認証)、 そのユーザが持つアクセス権限を利用する
ことができます(認可)。
認証されることによって認可されるというのが基本的な考え方です 。
(認証無しで認可情報をやりとりするOAuthという技術もありますがここでは 割愛します。)
1.2 認証要素とその種類
認証要素とは、本人であることを証明するための要素です。
また、認証要素は「表 認証要素の分類」に示される3つのカテゴリに分類されます。
表 認証要素の分類
項番 | 認証要素 | 内容 | 例 |
① | Something You Know | 知識を利用する認証 | パスワード、秘密の質問等 |
② | Something You Have | 所有物を利用する認証 | ICカード、 ハードウェアトークン等 |
③ | Something You Are | 生体情報を利用する認証 | 静脈、指紋、虹彩、顔、声紋等 |
2.多要素認証(Multi-Factor Authentication)とは?
というわけで、本題の多要素認証について述べたいと思いま す。
多要素認証とは、「1.2 認証要素とその種類」 で記載した認証要素の中から1つ以上の認証要素を組み合わせるこ とです。
ちなみに認証要素を1つだけ利用する認証を単一要素認証( Single-Factor Authentication)と言います。
複数の認証要素を利用すると、なりすまし攻撃を成功させるためには、全ての認証要素を入手する必要があります。そのため、攻撃の難易度が上がり、単一要素認証と比較して攻撃が成功しにくくなります。
また、認証要素を組み合わせる場合は、「1.2 認証要素とその種類」に記載した①と②、①と③ というように認証要素が重複しないように組み合わせることが望ま しいです。下記の図は「①Something You Know」と「②Something You Have」を組み合わせた例です。
3.認証方式の特徴
「1.2.認証要素とその種類」で記載した①~③ の認証要素を用いた認証方式について、コスト、 セキュリティ、運用性の観点からを特徴を記載してみたいと思います。
・コスト
①は一般的に利用者の頭の中に保存されるので、物品の購入は不要。
②はハードウェアトークンやICカード等の購入が必須。
③は高価な生体認証装置が必要。
・セキュリティ
①盗み見や総当たり攻撃の恐れあり。セキュリティは低め。
②盗難や紛失によりの恐れあり。
③生体情報が登録されているデータベースからの漏洩やFalse Positiveによる誤認証の恐れあ
り。
・運用性
①認証要素を管理するのはユーザ自身であり、②、③と比較して負担が軽め。
②ハードウェアトークンやICカードの管理が必要。
③認証精度(False Positive、False Negativeの発生率) の適切なチューニングが必須。
また、 生体情報の管理が必要です。
また、
どの認証方式を利用するにしても上述した特徴を理解し、 自組織の状況に応じた認証方式を選定することが重要となります。
おしまい。