特集
» 2014年11月21日 17時00分 UPDATE

認証強化は誰のため?:多段階認証、多要素認証から不正アクセス対策を考える (1/4)

利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。

[陣内帝,@IT]

 「認証」にまつわる攻撃が増えています。利用者本人を特定するために、IDとパスワードを用いた「パスワード認証」が一般的になる中、それを突破するために全ての英数字の組み合わせを試す「総当たり攻撃」、パスワードに利用されやすい文字列を試す「辞書攻撃」、本人から何かしらの手を使ってIDとパスワードを聞き出す「ソーシャルエンジニアリング」、別のサービスから流出したIDとパスワードを使った「パスワードリスト型攻撃」、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」といった、さまざまな攻撃による不正アクセスが流行しています。

 IDS/IPSやWAFには、これらの攻撃に対する対策機能もありますが、脆弱(ぜいじゃく)性を利用したクロスサイトスクリプティング(XSS)などの攻撃とは違い、これらの認証に対する攻撃を防ぐことは難しいのが現状です。いまできる対策としては、長く複雑なパスワードを利用すること、さらに使い回さないようすることなどが呼び掛けられています。

関連記事

「STOP!! パスワード使い回し!!」キャンペーン開始:

面倒だけど避けては通れない、いまこそ考える「パスワード使い回し対策」(@IT)

http://www.atmarkit.co.jp/ait/articles/1409/17/news094.html


 そこで、これらの認証に対する攻撃を、どう対処すべきなのかについて述べたいと思います。また、認証において多要素認証を実施することが推奨されていますが、実際にどういった効果があるのかについても一緒に考えてみます。

多要素認証、多段階認証とは

 多要素認証や多段階認証について語る前に、「認証」について振り返ってみましょう。

 「認証」とは、ユーザー総数(n人)の中から1人を識別(個人識別)し、識別された1人が確かに認証を行いたい本人であるかどうか検証(本人認証)することで、ユーザーを特定する作業のことをいいます。

 つまり、認証には「個人識別」と「本人認証」の二つの側面があるといえます。

cert_01.gif 図1 認証は「個人識別」と「本人認証」を含む

 識別を行うための情報は、ある程度の他者と重複しない性質(唯一性)と、ある程度変わらない性質(不変性)があればよいとされていますが、本人認証に用いられる情報は本人固有の情報(固有情報)である必要があります。固有情報とは、検証時に用いられる認証情報であり、主に生体情報、所持情報、知識情報に分類されます。これらを「認証の3要素」といいます。

要素 説明 固有情報 必要機器
生体情報(SYA;Something You Are) 生物固有の情報・特性 ・指紋
・静脈
・顔
・声紋
カメラ
マイク
指紋リーダー
静脈リーダー
知識情報(SYK;Something You Know) 本人しか知らない情報 ・パスワード
・ワンタイムパスワード
・秘密の質問
・属性情報(本人のみ知る情報)
キーボード
マウス
タッチパネル
所持情報(SYH;Something You Have) 本人しか持っていない情報やもの ・ICカード
・ハードウェアトークン
・携帯電話
・公的証明書
スキャナ
カードリーダー

生体情報とは「生物固有の情報」で「不変不動」

 生体情報は、主に顔や声紋、指紋、静脈などが用いられます。生物固有の情報であり、一般的に不同なものを利用します。本人以外が持ち合わせない情報であるため、原理的に極めて「なりすまし」が困難であり、高いセキュリティを実現できる認証方式で、現在「バイオメトリクス認証」や「生体認証」として研究されています。

 しかし、生体情報も「データ」であるため、生体情報を盗まれた際に、生体情報の「データ」を盗むことで認証を突破される危険性があります。また、生体情報は、個人の身体・行動にかかわる固有の情報であり、不変不同のものであるため、漏えいすると安全性を回復することが困難になります。

所持情報とは「本人しか持っていないもの」

 所持情報は、本人しか所持していないもののことをいい、主に身分証明書やクレジットカード、携帯電話、IC(Integrated Circuit)カードなどがあります。特にICカードは公開鍵暗号方式を応用して認証を行っており、公開鍵暗号方式における秘密鍵を、解析されにくいように、耐タンパ性を高めることで保護するなど、外部から秘密鍵を読み取れなくすることで、工学的に高いセキュリティが確保されます。

 しかし、所持情報は物理的なものであるため、紛失や盗難といった問題がつきまといます。

知識情報とは「本人以外が知り得ないもの」「コストが低い故に限界があるもの」

 知識情報は、本人しか知り得ない情報のことをいい、パスワード認証として最も普及・利用されている基本的な認証技術です。

 記憶するだけでよいため、汎用性が高くコストが低い情報です。しかし、忘却、漏えいの危険性が高く、漏えいに気付きにくいといった問題があります。特に、パスワード認証におけるパスワードには前述のようにさまざまな攻撃手法があり、セキュリティ的にはとても問題があるといえるでしょう。結果的に、パスワード認証だけ、知識情報だけで認証を行うには限界があると考えられます。

       1|2|3|4 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。