情報セキュリティにおける認証

 今年の夏休みは十年来の友人に連絡が取れたりドラクエ夏祭りに参加したりと中々充実していた気がします。

さて、今回は現代のインターネット、情報システムにおいて当たり前のように使われている認証技術についてまとめてみました。

認証って?

認証:「一定の行為や文書の作成が正当な手続きによってなされたことを定められた公の機関が証明すること」(出典:松村明編『大辞林 第2版』三省堂

らしいです。堅苦しいですが、情報セキュリティにおいての認証には二つの要素が含まれています。それが、Authentication と Certificationです。

  • Authentication

    主にユーザーID、パスワード、もしくは生体情報などを用いて人、物、情報を識別し、その正当性や真正性を直接確認することです。通常は何らかの情報資産やシステムリソースなどへのアクセス権を管理し、アクセス制御を行っているシステムや人間と、それらに対するアクセスを要求するものとの間で直接的に認証行為がおこなれます。なのでこのような認証の方式を二者間認証という場合もあるそうです。

  • Certification

    デジタル証明書による認証に代表されるような認証局などの第三者が発行する証明書の保有をもとにその持ち主の正当性を確認すること。つまり、この方式では認証が欲しい人、それを認証する人、そしてそれに介在すいる第三者(登録管理者なんて呼ばれてます)によって認証行為が行われます。こういった場合三者間認証なんて呼ばれるそうです。辞書に載っている方の認証に近い意味を持つのはこちらでしょうか?

    「単位を教授に認めてもらう」なんていうのもCertificationに近いでしょうね(白目)

認証の分類について

先程述べたAuthenticationについて認証の対象を人、物、情報の三つに大別していました。その内容と具体例を調べてみました。

認証の種類 内容 具体例
人の認証 個人の識別を行い、事前に登録されている本人であることを確認すること ユーザーIDとパスワードによる本人認証、指紋認証
物の認証 システムやネットワークへのアクセスを要求している機器などの正当性を確認すること MACアドレスによる端末の認証、発信元電話番号による端末の認証
情報の認証 情報が不正に改変されていないことを確認すること メッセージダイジェストやディジタル署名によってプログラムやデータの改ざんの有無を確認|

所有物(ICカード、磁気カード)や秘密情報(パスワード、暗証番号)などによる認証は導入が容易で誰もが理解できるが単体で用いる場合によっては、実装や運用によってむしろセキュリティの低下につながる恐れがあります。そのため、高度なセキュリティが求められる環境やシステムなどでは二つを併用する、もしくはバイオメトリクスによる認証が用いられることが多いそうです。典型的な例としては、キャッシュカード(所有物)と暗証番号(秘密)によって本人認証を行い、銀行からお金を引き出すといったものがあります。こういった方式を二要素認証もしくは多要素認証と呼びます。

ちなみに、非常に破られにくい生体認証(バイオメトリクス認証)ですが導入のコストが非常に高いのでそこらかしこに導入するというのが出来ないのがデメリットです。

次の記事からは色々な認証方式についてまとめてみようと思います。

それでは今回はこの辺りで筆をおかせていただきます。