令和４年度中小企業サイバー
セキュリティ対策継続支援事業

識別・認証・認可の違い

ユーザーがログインを行う過程には、以下のような意味合いがあります。

認証方法の違い

認証の目的は、本人しか知り得ない・持ち得ない情報をもとに本人であることを特定することです。

知識による認証

知識による認証の代表例はパスワードです。自分が覚えていること、知っていることで本人を特定します。

持ち物による認証

持ち物による認証の代表例はICカードや鍵などです。持っているということで本人を特定します。

生体による認証

生体による認証の代表例は指紋や虹彩などです。自身の体の一部を利用して本人を特定します。

生体認証の情報が流出した際には指紋を変えることはできませんが、パスワードであればすぐに変更することが可能です。３つの認証方法に基本的には優劣はありません。利用するシステムやシステムで利活用・保存される資産などにおいて決定することが望ましいと言えます。また、これらの認証方法を複数組み合わせた認証方法を多要素認証と呼びます。多要素認証も様々な内容がありますので、検討が必要です。

Point①　システム利用時の適切な認証を

安全な環境が無くなっている今日、認証は自身を証明するものであり、セキュリティ担当者としては、認証情報が真正性を担保するものになります。利用するシステムの重要度に合わせた認証方法を検討しましょう。

社内へのVPN接続

外部からのアクセスとなるため、常に2要素認証で認証を行う

グループウェア

初回のみ2段階認証を求めるが、同日中に同じ場所からのアクセスは、パスワードのみで認証を行う

VPN接続後アクセスできるファイルサーバ

アクセス制限がすでにかけられているので、パスワードのみで認証を行う

Point②　認証ログを管理し適切な利用を

一般的にログインという行為には、識別と認証が確認されて成功となります。そのため、認証ログを適切に確認し管理することで外部からの攻撃の可能性などに気づくことになります。

認証ログの一元管理

認証ログとは、ログイン試行の成功・失敗のログです。例えばログイン試行が一定期間内に大量に発生することは、リスト型攻撃が発生している可能性があり、対処が必要です。

認証ログの個人確認

最近では、日常的にログインされる場所以外から発生した時に、メール通知されます。これに気づくことにより直ちにセッションの切断や認証方法の変更の対応をすることで、被害の影響を小さくすることが可能になります。

Point③　閾値を決めて対応の基準に

閾値とは、境界となる基準の値です。例えばリスト型攻撃・DDoS攻撃は何を持って攻撃と判断し対応するのか基準を決めておくことで、インシデント対応がスムーズになります。

Point④　パスワード認証に代わる認証技術

パスワードに代わる認証手段として期待される認証技術としてFIDO（ファイド）というものがあります。

FIDO認証の仕組みの概要

パスワードのような情報をサービスを提供する側で保持をしないことが最大の特徴となります。FIDOでは秘密鍵と公開鍵を利用して署名を検証することで認証を行います。署名を作成するための作業として、デバイスで生体認証などを行ないますが、この生体属性情報をサービスログインの認証では利用しないため、サービス提供事業者側に情報を保有する必要がなくなるというメリットがあります。また、利用者側も情報を提供する必要がなくなります。また、端末を紛失したとしても、署名を作成するための作業となるデバイスでの生体認証に失敗するため、署名作成が行えず、安全性が高い認証方式と言われています。
これらが利用できるシステムでは、パスワードよりも積極的に利用することが推奨されます。ただし、現状ではパスワードと並行した運用となっているケースもあります。サービス仕様をよく理解したうえで利用していきましょう。