多段階認証、多要素認証から不正アクセス対策を考える認証強化は誰のため?(4/4 ページ)

» 2014年11月21日 17時00分 公開
[陣内帝@IT]
前のページへ 1|2|3|4       

 リスクベース認証の実装においては、アクセス時に取得可能なCookieやブラウザーの種類、IPアドレスから特定したISPを記録しておく必要があります。これを蓄積することで、普段のアクセスとは違った情報を持つアクセスについては、リスクがあるアクセスだと判断することができます。

 判断の結果が怪しい場合に初めて、多要素認証、多段階認証で追加認証を実施する手法が一般的ですが、実際に導入するにはどうすればよいかわからず、頭を悩ますことでしょう。そこで、OSS(オープンソースソフトウェア)のアクセス管理ソフトウェアである「OpenAM」を用いた導入を検討してみます。

「OpenAM」とは?

 「OpenAM」とはシングルサインオンなど、多数の認証機能を有したアクセス管理ソフトウェアです。これまでサン・マイクロシステムズによって開発が進められていた「OpenSSO」の後継に当たります。

関連記事

OSSによるアイデンティティ管理(2):

不正ログインを食い止めろ! OpenAMで認証強化(@IT)

http://www.atmarkit.co.jp/ait/articles/1310/17/news003.html

OpenAMコンソーシアム

http://www.openam.jp/


 「OpenAM」に実装されている機能の中にリスクベース認証があり、これを利用することで、リスクベース認証を実装することができます(図3)。

図3 OpenAMの概略

 具体的には「OpenAM」のモジュールとして実装されている「アダプティブリスク」を設定することで、アクセス状況やIPアドレス、ブラウザー情報、アクセス元の地理的情報などのうち、どれを利用するのか設定することができます。

チェック項目 内容
認証失敗 ユーザーが過去に認証失敗しているか
IPアドレスレンジ 指定した範囲内にクライアントのIPアドレスが存在するか
IP履歴 過去のログイン履歴の中にクライアントのIPアドレスが存在するか
最終ログインからの経過時間 ユーザーが最後に認証した時刻からの経過時間
プロファイル属性 ユーザープロファイルの一致する属性と値のチェック
位置情報 アクセス元の位置情報をチェック
リスクヘッダー ヘッダーのチェック
Cookie 指定した名前もしくは正しい値を持ったCookieがリクエストにあるかチェック
表 OpenAMで実装されているアダプティブリスクのチェック項目例

 さらに、多要素認証や多段階認証に必要な機能も有しており、リスクベース認証を行う場合に追加で認証を実施することもできます。例えば、モジュールの「HOTP」を組み合わせることで、メールアドレスや電話番号へワンタイムパスワードを発行することも可能です。しかし、先にも述べたように追加で認証を行う際にはユーザーへの負担、利便性の低下など、影響を考慮する必要があるでしょう。

リスクベース認証、検知後の対応は?

 リスクベース認証で不正アクセスを検知しても、その後の対応に悩まされるのではないでしょうか。Yahoo! での実例のように、リスクベース認証で怪しいと判断されてもそのままログインを実施するといった方法も考えられますし、その逆で怪しいと判断されたものはすべて認証を拒否することも考えられるでしょう。

 さらに多要素認証・多段階認証として

  1. 秘密の質問や第2のパスワードを登録しておき、多段階認証時に活用する方法
  2. 登録メールアドレスへワンタイムパスワードを送信して認証を行う方法
  3. ログイン後の行動履歴からユーザー本人が答えられる問題を作成する方法

などが挙げられます。

 しかし、1.だとパスワード認証を2度にわたって実施するのとほぼ同等であるため、パスワードと同様のセキュリティが求められ、ユーザーに2種類のパスワードを覚えてもらう必要があります。2.には主だった問題は見受けられないものの、メールアカウントのセキュリティが問題視されます。3.はFacebookのような「友達当てクイズ」がありますが、公開されている情報を基に作成すると、特定することも可能になるといったデメリットも存在します。また、多要素認証、多段階認証を実施すると利便性の低下が懸念され、付加認証を実施せずアクセスを拒否すると正規のユーザーであった場合にアクセスできないといった問題が発生してしまいます。

リスクベース認証の導入は、不正アクセスの「検知」にも役立つ

 個人情報や機密情報、金銭にかかわらない部分に関しては、リスクベース認証で検知されてもそのままログインを実施することも対策の一つだといえます。実は、リスクベース認証のもう1つの役割は、不正アクセスの監視の実施であり、より素早く不正アクセスを検知できることなのです。そうすることで、インシデントを最小限に抑え、不正アクセス発覚後に迅速に対応できるようになります。そのためにも、弱いパスワードを狙った攻撃やパスワードリスト型攻撃への準備としてリスクベース認証や多段階認証・多要素認証を導入する必要があるのではないでしょうか。

 今回はオープンソースソフトウェアとして提供される「OpenAM」を紹介しましたが、他にも多くのベンダーからさまざまな製品が提供されています。各種のツールがさまざまな分析手法でリスクベース認証を実装していますので、システムの安全性を確保するために導入を検討してみてはいかがでしょうか。

陣内 帝(じんない みかど)

セキュリティ&プログラミングキャンプ2010 OS組 卒業、セキュリティ・キャンプ全国大会2014に参加。

キャンプに参加したことがきっかけでセキュリティに興味を持ち、情報セキュリティ関係の企業へ就職。

現在、監視業務に従事。


前のページへ 1|2|3|4       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。