社外でのPC利用や企業ネットワークへ接続する際の認証は、IDやパスワードだけで十分だろうか。第三者による「なりすまし」などを防ぐためには複数の認証手段を用いてユーザーを正しく識別することが求められる。
本記事は、オンライン・ムックPlus「モバイルから安全に企業ネットへ接続しよう」のコンテンツです。関連記事はこちらでご覧になれます。
モバイル環境でPCにログインしたり、企業内ネットワークへ接続したりする際に最も利用されているセキュリティ対策がIDとパスワードによる認証だ。IDとパスワードの管理は、基本的にユーザーの「記憶」に委ねられるため、ユーザーが忘れないようにすれば管理負担の少ない認証手段である。だが、IDとパスワードが盗み見されてしまうと、簡単に第三者がユーザーになりすますことができてしまう。IDとパスワードは手軽に運用できる一方で、脆弱性の高い認証手段といえるだろう。
セキュリティルールによって、IDとパスワードを定期的に変更したり、複雑な文字列などを強制したりする企業も多い。しかし、実際にはユーザーが手間に感じて設定を変更しない、もしくは与えられた複雑なIDやパスワードを覚えきれず、メモ書きしたものを見える位置に貼り付けておくといったことが起こりがちである。第三者の目に留まりやすいモバイル環境では、複雑なIDやパスワードであっても、第三者によるなりすましの危険性を大幅に軽減できる可能性は低い。
このため、モバイル環境でのPCやモバイル機器の利用では、IDとパスワードに加えて異なる認証方法を組み合わせることが、なりすましの危険性を回避する有効な対策の1つになる。だが、新たな認証方法を導入するにはコストや手間がかかる。セキュリティベンダーのアイディーエスで企業向け認証システムなどを手がける泉谷章氏は、「ユーザーを確認するために複数の認証方法を導入している企業は3割程度しかない」と指摘している。
認証方法には、主に人間の「知識」「所有」「生体」という特徴が利用されている。「知識」を利用する認証の代表がIDとパスワードである。「所有」による認証は、ユーザー常に身に付けているものを利用する。「生体」による認証は、人間が生まれながらに持っている身体的な特徴を利用している。「所有」型認証では、専用デバイスや携帯電話など用いて、一時的に発行するパスワードを併用する「ワンタイムパスワード」(OTP)や、社員証などのICカード、電子証明書(PKI)で識別する。「生体」型認証は、人体の指紋や静脈、虹彩などの形状でユーザーを識別する方法だ。
それぞれの認証方法を見ると、まずOTPはユーザーが利用するたびに変更し、有効期間(時間)が設定できる使い捨て型のパスワードである。第三者が推測するのが難しく、盗んだとしてすでに無効なパスワードであるため、なりすましの危険性は低くなる。OTPを利用するには、OTPを管理する専用サーバとユーザーにOTPを通知(生成)するデバイス(トークン)が必要だ。
社員証などのICカードやPKIは、ユーザー個人に対して提供するので「本人」であることを特定しやすいのが特徴だ。ICカード認証には専用の読み取り装置を用意する必要があり、装置本体も割高である。PKIは電子データであるため、ユーザーがUSBメモリなどに保管して持ち歩けるなど負担が小さく、ネットワークを介した認証に適している。だが、管理者がPKIを発行し、有効期限やユーザー権限の範囲などを適切に管理していかなければならない。また、PKIを保存したUSBメモリなどを紛失するというリスクも残る。
生体認証は、改変が実質的に不可能な身体的な特徴を利用するため、最も本人特定に優れた認証方法といえるだろう。だが、ICカードを利用する場合と同じように専用の読み取り装置を用意しなければならず、機器も割高である。
要素 | 記憶 | 所有 | 生体 | ||
---|---|---|---|---|---|
方式 | 固定パスワード | OTP | PKI | 指紋、静脈 | |
メリット | 管理が容易 | 盗聴、なりすましの危険が少ない | 持ち運びが容易 | 本人特定の確実性が高い | |
デメリット | 盗聴や推測が容易、複雑な運用 | 専用装置が必要、トークンの紛失 | 発行や管理が手間、紛失 | 専用装置が必要 | |
用途 | 端末認証、ネットワーク認証 | ネットワーク認証 | 端末認証 | ||
第三者によるなりすましを防ぐためには、「知識」であるIDとパスワードのほかに、ユーザー本人でなければ分からない(利用できない)「所有」や「生体」による方法を組み合わせる「二要素認証」や「三要素認証」を活用することが有効な対策となる。泉谷氏は、「ユーザーの利便性を考えると三要素認証は複雑なため、二要素認証の導入が現実的だろう」とアドバイスする。
Copyright © ITmedia, Inc. All Rights Reserved.