認証とは? 仕組みなど押さえておきたい基本を徹底解説
クラウドサービスを含め、多くのWebサービスを活用している現代において、認証は欠かせないものとなっています。特にインターネット上のサービスを利用する時、最初におこなうユーザー/デバイス認証は必須であり、より高度なセキュリティを実現するためにさまざまな認証方式が存在します。多様化するサービスを安心して活用していくためには、認証について理解を深めることが大切です。
この記事では、認証の概要、仕組みや必要性、そして各種認証方式の解説と併せて、認証と認可の違いについても解説します。
認証とは
認証とは、Webサービスやシステムを利用する人物(※)の正当性や真正性を確かめることです。サービスなどを利用しようとしている人物が、本人かどうかを確認するための手段ともいえるでしょう。
※プログラム(APIなど)も認証の対象となることがありますが、本記事では人物を対象とした認証について説明します。
基本的にインターネット上のサービスは公開されており、誰もがアクセス可能な状態になっていることがほとんどです。また、お互いの顔を見ることはできず、本人かどうかを確認する手段は限られています。そのなかで、利用者を識別するために認証は必須となっています。
IDやパスワードなどを用いて、Webサービスやシステムなどを利用できる状態にすることをログインと呼び、利用を終了して離れることをログアウトと呼びます。ログインする際に認証が必要となり、ログアウトをすると、再度認証されるまでログイン後の画面には遷移できなくなります。
認証の仕組み
認証の仕組みとして多いのは、IDとパスワードを組み合わせたものです。IDは利用者を識別する符号であり、一般的に英数字を組み合わせて設定されます。IDとして、メールアドレスが利用されることもあります。一方、パスワードは利用者しか知らない情報であり、ログインしようとするIDの本人確認のために用いられます。
Webサービスやシステムを利用する際には、はじめにIDとパスワードを登録することが必要です。サービス側でIDとパスワードを記録しておき、利用者がログインする際に入力した内容と比較することで認証を行います。
もちろん、認証の仕組みはIDとパスワードの組み合わせだけではありません。後ほど詳しく解説しますが、スマートフォンを利用する方式や、生体情報を利用する方式も存在します。いずれの場合も、Webサービスやシステム側と、利用者側とで共通の情報を持ち、照合することで認証を実現しています。
認証の必要性
認証は、さまざまな場面で利用されています。インターネット上のサービスの利用時だけでなく、パソコンへのログインや、ローカルネットワーク上のシステムのログインなど、あらゆる場面で認証が必要です。
認証が必要な理由は、利用者が本人かどうかを確認することにあります。悪意を持った第三者が利用者を騙ってログインを試みることは珍しくなく、本人以外の人物が不正にログインすることを不正ログインと呼びます。
コンピューターやネットワーク、Webサービスなどを安心して活用していくために認証は重要です。テクノロジーの進歩によって非常に便利になった現代ですがその一方で不正ログインをはじめとしたサイバー攻撃も巧妙化や多様化が進んでおり、安全な利用のために認証方式もより強固で、より安全性の高いものが求められています。
二者間認証と三者間認証
認証は登場人物の違いによって大きく「二者間認証」と「三者間認証」に分けられます。ここではそれぞれの違いについて見ていきましょう。
二者間認証とは
二者間認証とは、二者間で認証する一般的な認証方式です。例えば、クラウドサービスを利用する際に、利用者とクラウドサービス側の二者によって行われる認証が該当します。
二者間認証はIDとパスワードを用いて行われることが一般的ですが、近年ではより安全性を高めるために多要素認証を用いるケースが増えています。
多要素認証は「知識情報」「所有情報」「生体情報」の3つの要素のうち、2つ以上を組み合わせた認証です。
IDとパスワードといった知識情報、スマートフォンを用いた所有情報などを組み合わせることによって、不正ログインを困難にしています。認証の3要素については、後ほど詳しく解説します。
三者間認証とは
三者間認証とは、認証時に第三者に問い合わせを行い、利用者の正当性を確かめる認証方式です。登場人物としては、利用者・Webサービスやシステム側・公平な第三者のような形になります。
三者間認証の例としては、暗号化通信や電子署名が挙げられます。三者間認証ではおもにデジタル証明書が利用されますが、この証明書は認証局(CA)が発行するものであり、この認証局こそが公平な第三者です。
例えば、私たちが普段インターネットで閲覧するWebサイトでもデジタル証明書が用いられた暗号化通信を行っています。利用者がWebサイトにアクセスした際、ブラウザは安全なWebサイトかどうかを検証しますが、その際にデジタル証明書をチェックします。
提示されたデジタル証明書が正当な認証局から発行されたものであれば、第三者から認められていると判断でき、安全なWebサイトとしてアクセスすることができるのです。
3種類の認証方法
認証は使用する情報の種類によって、「知識」「所有」「生体」認証の3つに分類できます。これらに用いる「知識情報」「所有情報」「生体情報」は認証の3要素として、多要素認証を実現する際にもとても重要です。
知識情報を用いた認証方法
知識情報は「本人しか知らない情報」のことであり、パスワードやPINコード、秘密の質問などを用いる認証方法が該当します。知識情報を用いた認証は、インターネットが登場したときからずっと利用されてきました。
しかし、近年ではサイバー攻撃も巧妙化が進み、パスワードのみの認証方式は安全性が低いとされています。そこで、後述する所有情報や生体情報と組み合わせる「多要素認証」をとり入れるケースが増えています。
知識情報を使用する認証方式は、合言葉さえ知っていれば誰でも利用できてしまいますが、所有情報や生体情報を必要とする場合はそうはいきません。仮にパスワードなどが漏れてしまったとしても、その他の要素で不正ログインを防ぐことができます。
所有情報を用いた認証方法
所有情報は「本人しか持っていない情報」のことであり、携帯電話・スマートフォンやICカード、ハードウェアトークンなどを利用する認証方法が該当します。近年ではほとんどの人がスマートフォンを所有していることから、スマートフォンを利用した認証方法が用いられるケースが多くなっています。
スマートフォンのアプリとして「Google認証システム」などを導入しておき、Webサービスなどへのログインの際に、一時的に利用可能なワンタイムパスワードを生成してログインする、というような使い方が一般的です。
Google認証システムなどのアプリでは、同じサービスであってもスマートフォンごとに生成されるワンタイムパスワードが異なります。そのため、ユーザー登録時に本人が所持しているスマートフォンを登録しておけば、そのスマートフォン以外では認証が行えません。
多要素認証の実現方法としては、パスワードと併せてこの認証方法を組み合わせることが比較的多いといえるでしょう。
生体情報を用いた認証方法
生体情報は「その人自身の情報」を指し、指紋・静脈・虹彩・声紋・顔など、本人の身体的特徴を用いて認証する方法が該当します。これらは「生体認証」あるいは「バイオメトリクス認証」と呼ばれ、最も安全性の高い認証方法の1つとされています。
知識情報や所有情報は本人以外の人物でも知り得たり、複製したりすることが可能ですが、生体情報は本人以外が入手・複製することは困難です。また生体認証は、本人の身体的特徴をそのまま利用するため、パスワードを覚えたり、専用のハードウェアを持ち歩いたりする必要がなく、利便性にも優れています。
以前は、生体認証には指紋などを読み取るために特別な機器が必要であったため、高いセキュリティが必要とされる一部の場所でしか利用されませんでしたが、近年ではスマートフォンの指紋認証や顔認証にも見られるように、さまざまな場面での普及が進んでいます。
「認証」と「認可」の違い
認証と似た言葉として「認可」が存在します。認証に関してより理解を深めるためには、認可との違いも理解しておくことが重要です。
- 認証:正しい利用者の本人確認
- 認可:正しい利用者に対する権限の付与
認証は、サービスやシステムを利用しようとする人物が正規の利用者かどうかを確認する行為です。対して、認可は認証によってアクセスが許可された利用者に対して、権限を付与する行為が該当します。
セキュリティにおいては認証と認可を正しく利用することが重要です。正規の利用者であっても、サービスやシステム内での行動の範囲は制限する必要があります。例えば、企業の財務システムにおいて、一般社員がすべての内容を閲覧でき、内容も書き換えられるとしたら、さまざまな問題が発生する可能性があるでしょう。
この時、認証だけではこの問題を防げません。利用者ごとにどこまでの行動を許可するのか、といった権限の付与=認可が必要です。認可をしっかりと行わなければ、情報漏洩や内部不正などに繋がる可能性があるため、セキュリティ強化のために認証と併せて認可もしっかりと行う必要があります。
まとめ
認証とは、サービスやシステムを利用する人物の正当性や真正性を確かめることです。基本的にインターネット上では顔が見えず文字だけのやり取りになるため、本人を確認するためにはより強固な認証が必須です。
テクノロジーの進歩によって便利になった反面、サイバー攻撃も巧妙化・多様化が進んでおり、認証の重要性は年々増しています。安全に利用するためにさまざまな認証方式が登場し、近年では安全性が高い認証方式として多要素認証が注目されています。
また、システムを運用する際には、認証だけでなく認可も考慮することが大切です。不適切な認可は情報漏洩や内部不正につながるため、セキュリティレベルを高めるためには認証と併せて認可についても理解を深めましょう。
Pickup ピックアップ
-
イベント報告
【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果に...
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...