表1 認証の3要素
表1 認証の3要素
[画像のクリックで拡大表示]
図1 認証とアクセス制御の仕組みの例<br>二つ以上の要素を用いる「多要素認証」を使うことが望ましい。アクセスを記録して監査することも重要。
図1 認証とアクセス制御の仕組みの例<br>二つ以上の要素を用いる「多要素認証」を使うことが望ましい。アクセスを記録して監査することも重要。
[画像のクリックで拡大表示]

ユーザーの本人性を確認する認証と,そのユーザーに与えられた権限の範囲でアクセスを制御する仕組みの重要性が高まっています。それらとともに,ユーザーが情報に対して具体的にどのようにアクセスしたかを記録し,継続的に監視することも大切です。

 個人情報漏えいやフィッシング詐欺など,認証やアクセス制御の重要性を再認識させられる事件が相次いでいます。相手の顔が見えないインターネット上でビジネスを行うには,こうした認証やアクセス制御は必要不可欠な技術要素ですが,利便性やコスト,納期を優先するあまり,十分な設計・実装が行われていないWebサイトが多く見受けられます。

 「認証」を考える場合,「三つのA」は欠かせません。(1)Authentication(狭義の認証),(2)Authorization(承認),(3)Accounting(監査)の頭文字を取って,そう呼ばれています。

大前提は本人であることを確認する

 狭義の認証(以下,単に「認証」)とは,「相手が本人かどうか」を確認することです。認証を行うための要素情報は「本人しか知らない知識・情報」,「本人しか持っていない“モノ”」,「本人の生体情報」の3種類に大きく分かれます(表1[拡大表示])。例えば,これまで最も多く使われてきたID/パスワードは,本人しか知らない知識・情報に分類されます。

 認証の精度を高める手段の一つは,2種類以上の要素を組み合わせることです。最近のインターネット・バンキングでは,ID/パスワードと乱数表の併用が一般的ですが,これは本人しか知らない知識・情報と本人しか持っていない「モノ」の2種類で認証していることになります(図1[拡大表示])。「なりすまし」による金銭的被害が発生するようなWebサイトでは,本人しか知らない知識・情報だけの認証では十分ではないと考えた方がよいでしょう。

 認証の強度を高めるために,最近ではID/パスワードに加えて,サービス提供者と利用者との間で「クイズと答え」や「お気に入りの画像」のような非定型情報を事前に共有することで,利用者の認証に用いる方式もあります。

 また,最近注目されているのが,本人の体の特徴を用いる「生体認証」です。指紋などの生体認証情報はプライバシーそのものですので,認証する側は管理に十分な注意が必要です。ICカードの中に生体認証情報を格納することで,そもそも認証する側が情報を持たない方式もあります。生体認証機能付きICキャッシュカードはこのタイプで,暗証番号(PIN)も組み合わせると,知識・情報,モノ,生体情報の3種類の要素で認証していることになります。

 しかし,生体認証も万能ではありません。「偽指」などによるなりすましの危険性も皆無とはいえず,自分の生体情報は一生変更できないという制限もあります。

PKIは使い勝手に課題

 ネットワーク越しの認証では,知識・情報,モノ,生体情報といった認証要素の種類にかかわらず,一般に秘密情報の開示を求められます。しかしあらゆる情報は,開示した瞬間に漏えいリスクにさらされるものです。秘密情報を開示することなく,本人であることを相手に確認してもらうことができれば理想的でしょう。これには,ゼロ知識証明*と呼ばれる方式や,秘密鍵を明かすことなく公開鍵(電子証明書)を提示することで認証を行う公開鍵暗号基盤(PKI)*を利用した方式などがあります。

 しかしPKIは,期待されたほどには普及していません。安全性の高い認証局(CA)*の構築・運営に多大な費用が発生することや,利用者自らが電子証明書の取得・更新などを行うには一定の知識が要求されることなどが原因です。PKIの普及には,用途,取引額レベル,想定リスクに応じたCAの安全性基準を定める必要があるでしょうし,安全性を犠牲にせずに使い勝手を向上させたPKIアプリケーション(ブラウザなど)の開発・普及も待たれます。

アクセス制御と監査も不可欠

 一方Authorization(承認)は,「誰が,どの情報に,どんなアクセスをして良いのか」のルールを管理し,強制する仕組みです。一般的にはアクセス制御と呼ばれ,本人を認証した後に行われます。個人情報漏えいを未然に防ぐためにも,重要な情報にアクセス可能な人を最小限にとどめるといった,きめ細かいアクセス制御が必要です。

 承認を便利にする仕組みに,シングルサインオン(SSO)があります。SSOは,複数のサーバーに分散した情報でも1回の認証でアクセスできるようにする仕組みです。最近登場しつつあるWebサービス*でも,SSOの仕組みが考えられており,SAML*という利用者の認証情報やアクセス制御情報をやり取りするためのXML(extensible markup language)ベースの枠組みが規定されています。

 三つめの「A」であるAccounting(監査)は,認証と承認を経た利用者が,情報に対して具体的にどのようにアクセスしたかを記録し,継続的に監視する仕組みです。

 米国では企業改革法*が制定され,企業は財務情報の信頼性を守るための内部統制を求められています。内部統制における監査の重要性はいうまでもなく,監査のためのシステム再構築が必要な事例も多いようです。日本版の企業改革法も検討されていますので,日本企業もそれに備えておく必要があるでしょう。


寺田 洋 NRIセキュアテクノロジーズ代表取締役社長兼情報セキュリティ事業部長
小田島 潤 NRIセキュアテクノロジーズ情報セキュリティ事業部 上級セキュリティエンジニア