強力な認証：その定義とセキュリティ要素

強力な認証とは、パスワードだけでは不十分な場合に、ユーザーのアイデンティティを確認する方法です。

ほとんどの企業は、デジタル資産へのアクセスを許可する前に証明を要求します。たとえば、ユーザーにパスワードを入力してもらったり、簡単なクイズに答えてもらったりし、その後にアクセスを許可します。アクセス許可を確認するために行うことは、すべて認証ステップです。

強力な認証手法は、セキュリティを最優先させます。誰でも簡単にシステムを介してリソースにアクセスできるようにするのではなく、ユーザーが本人であることを確認し、適切であると判断された対象だけにアクセスできるようにするために、いくつかの追加的な手段を講じます。

強力な認証とは？

何十年もの間、ユーザー名とパスワードの組み合わせは標準的な認証メカニズムとなってきました。強力な認証手法は、これを基盤として成り立っています。

強力な認証手法は、独立した2つの要素を組み合わせて、ユーザーのアイデンティティとアクセスを確認するものです。一方が侵害されても他方には影響が及ばないので、システムが安全に保たれます。また、1つの要素は再利用されないので、盗むことはほぼ不可能です。

SMSのワンタイムパスコード（OTP）を使った簡単で強力な認証プロセスを考えてみましょう。

• ステップ1：パスワード
  ユーザーが、システムへのアクセスに使用する、数字と文字から成る固有のセットを作成し、記憶します。
• ステップ2：所持
  正しいパスワードを入力すると、ユーザーが登録したスマートフォンに、文字と数字で構成された二次的な文字列が送信されます。
• ステップ3：アクセス
  2つ目の詳細情報を入力すると、ユーザーはシステムにアクセスできるようになります。

この方法でのログオンには時間がかかり、追加的ないくつかの手順を実行する必要があります。しかし、保護が必要な個人情報がアプリに含まれる今日の状況に対処しなければなりません。

パスワードは、入力された文字列のみで侵害を防ぐものであり、これだけでは十分でなセキュリティ対策にはなりません。今日のセキュリティの脅威は、より堅牢な保護対策を必要としています。

リスクの役割の説明

一部の企業では、強力な認証手法を使用して、すべてのログイン要求を検証しています。また、リスクベースの認証手法を用いて、疑わしいと思われる要求のみを検証する企業もあります。

ログイン要求の際に、システムは以下の評価を行います。

• 場所：要求はどこから来るのか？
• タイムスタンプ：ユーザーがログインを要求するのはいつか？
• 頻度：過去に何回ログインしようとしたか？

明確なリスクが現れる可能性があります。たとえば、通常とは異なる時間帯に国外から複数のログイン要求があったことに気づくことがあるかもしれません。また、同じ時間にその場所からいつもログインしている人からの日常的な要求をシステムが認識することもあるでしょう。

リスクが検出された場合、システムは新しいパスワードやバイオメトリック認証などの強化された認証手法を適用できます。リスクが検出されない場合、ユーザーは追加的なステップなしでログオンします。

強力な認証に価値はあるか？

自社のデータはすでに保護されており、不正アクセスを防ぐための合理的な手段をすでに講じていると考える企業があるかもません。実際には、ほとんどすべての環境には、非常に現実的なデータ保護の問題が潜んでいます。また、企業が強力な認証手法を使用していることを証明するよう求められることもあります。

FIDO Allianceは、世界共通の強力な認証手法を提唱しており、以下の驚くべき統計を利用して、コンプライアンスを促しています。

• データ侵害の80％以上はパスワードの問題が原因となっている。
• 最大で51％のパスワードは使い回されたものである。

データ侵害は、収益の損失につながるだけでなく、顧客の信頼と尊敬を失うことにもなりかねません。自分の仕事やプライバシーが尊重されると確信できない顧客は、競合他社を選ぶかもしれません。

金融業界の組織や、EU域内の人々から支払いを受ける組織にとって、強力な認証は任意選択ではありません。強力な顧客認証（SCA）の規則が2019年に発効し、欧州経済地域（EEA）でのアプリ内決済に強力な認証が求められています。

強力な認証の7つのタイプ

多くの選択肢から選ぶことができます。しかし、すべての要素が同じではありません。要素によって、保証や実用上の有用性の度合いが異なります。

ここでは、一般的な第2要素のタイプを紹介します。

1. セキュリティの質問：セキュリティの質問は、以前からパスワードのリセットに使用されてきましたが、追加の認証要素としてセキュリティ質問を追加することを妨げるものはありません。

   設定は簡単ですが、簡単にハッキングされたり窃取されたりする可能性があります。

2. ワンタイムパスワード（OTP）：OTPは、二次認証カテゴリを使用するため、セキュリティ質問よりも安全です。ユーザーは、パスワード（「知っているもの」）の他に、デバイス（「持っているもの」）を使って認証します。

   SMSで送信される認証コードやOTPも便利ですが、トークンが傍受されたり侵害されたりするなど、従来のOTPの使用にはリスクがあります。

3. アプリが生成するコード：ソフトウェアベースのOTPは、サードパーティアプリを介して提示される時間ベースのワンタイムパスワードアルゴリズム（TOTP）を使用します。

   アプリが生成するOTPは、セキュリティを考慮して構築されています。しかし、スマートフォンが侵入されるという潜在的なリスクがデメリットとなります。

4. 専用の認証アプリ：ユーザーにOTPを提供するのではなく、プッシュ通知付きOkta Verifyアプリのように、スマートフォン上のアプリと対話することで、ユーザーに本人確認を求めるものです。

   その後に認証トークンがサービスに直接送信されるので、ユーザーによるOTPの入力が不要となり、セキュリティが強化されます。

5. 物理的な認証キー：この認証プロセスは、非対称暗号化アルゴリズムによって保護され、プライベートキーがデバイスから離れることはありません。プロンプトが表示されたときにプラグインするUSBや、ユーザーがスワイプするスマートカードなどがその例です。

   U2Fは、FIDO Allianceが維持している標準であり、Chrome、Firefox、Operaがサポートしています。

6. バイオメトリクス：この認証は、ユーザーが「知っているもの」「持っているもの」の他に、「本人の属性」を使い、セキュリティを強化します。これをハッキングするのは困難ですが、完璧な方法は存在しません。また、バイオメトリクスには課題やプライバシーの問題があります。

   パスワードと同様に、バイオメトリクスデータも何らかの形でデータベースに保存しなければならず、これが侵害される可能性があります。また、パスワードとは異なり、侵害されたからといって指紋、虹彩、網膜を変更することはできません。さらに、このMFA要素を導入するには、専用のバイオメトリックハードウェアデバイスへの投資が必要です。

7. 暗号ベースのチャレンジ/レスポンスプロトコル：データベースが別のデータベースにチャレンジを送信し、受信者が適切な回答を返す必要があります。通信はすべて暗号化されて送信されるので、ハッキングや改ざんは不可能です。複雑なシステムのように聞こえますが、実際には、送信者と受信者は数秒で通信を終えます。

これらのシステムのいずれか、またはすべてが、皆さんや皆さんの組織に適しているかもしれません。いくつかの異なる手法を組み合わせることも効果的でしょう。

Oktaの支援

適切かつ強力な認証プロセスを見つけ、自社が求めるセキュリティを実際に提供することは、必ずしも容易ではありません。そのような状況でOktaが役立ちます。私たちは長年にわたり、多くの企業がこのような複雑な問題を解決するためのお手伝いを提供してきました。詳しくはお問い合わせください。

参考文献

What Is FIDO? The FIDO Alliance.

Strong Customer Authentication. (August 2019). Financial Conduit Authority.

Challenge Response Authentication Protocol. (November 2018). Medium.