強力な認証:その定義とセキュリティ要素

強力な認証とは、パスワードだけでは不十分な場合に、ユーザーのアイデンティティを確認する方法です。

ほとんどの企業は、デジタル資産へのアクセスを許可する前に証明を要求します。たとえば、ユーザーにパスワードを入力してもらったり、簡単なクイズに答えてもらったりし、その後にアクセスを許可します。アクセス許可を確認するために行うことは、すべて認証ステップです。

強力な認証手法は、セキュリティを最優先させます。誰でも簡単にシステムを介してリソースにアクセスできるようにするのではなく、ユーザーが本人であることを確認し、適切であると判断された対象だけにアクセスできるようにするために、いくつかの追加的な手段を講じます。

強力な認証とは?

何十年もの間、ユーザー名とパスワードの組み合わせは標準的な認証メカニズムとなってきました。強力な認証手法は、これを基盤として成り立っています。

強力な認証手法は、独立した2つの要素を組み合わせて、ユーザーのアイデンティティとアクセスを確認するものです。一方が侵害されても他方には影響が及ばないので、システムが安全に保たれます。また、1つの要素は再利用されないので、盗むことはほぼ不可能です。

強力な認証とは?

SMSのワンタイムパスコード(OTP)を使った簡単で強力な認証プロセスを考えてみましょう。

  • ステップ1:パスワード
    ユーザーが、システムへのアクセスに使用する、数字と文字から成る固有のセットを作成し、記憶します。
  • ステップ2:所持
    正しいパスワードを入力すると、ユーザーが登録したスマートフォンに、文字と数字で構成された二次的な文字列が送信されます。
  • ステップ3:アクセス
    2つ目の詳細情報を入力すると、ユーザーはシステムにアクセスできるようになります。

この方法でのログオンには時間がかかり、追加的ないくつかの手順を実行する必要があります。しかし、保護が必要な個人情報がアプリに含まれる今日の状況に対処しなければなりません。

パスワードは、入力された文字列のみで侵害を防ぐものであり、これだけでは十分でなセキュリティ対策にはなりません。今日のセキュリティの脅威は、より堅牢な保護対策を必要としています。

リスクの役割の説明

一部の企業では、強力な認証手法を使用して、すべてのログイン要求を検証しています。また、リスクベースの認証手法を用いて、疑わしいと思われる要求のみを検証する企業もあります。

ログイン要求の際に、システムは以下の評価を行います。

  • 場所:要求はどこから来るのか?
  • タイムスタンプ:ユーザーがログインを要求するのはいつか?
  • 頻度:過去に何回ログインしようとしたか?

明確なリスクが現れる可能性があります。たとえば、通常とは異なる時間帯に国外から複数のログイン要求があったことに気づくことがあるかもしれません。また、同じ時間にその場所からいつもログインしている人からの日常的な要求をシステムが認識することもあるでしょう。

リスクが検出された場合、システムは新しいパスワードやバイオメトリック認証などの強化された認証手法を適用できます。リスクが検出されない場合、ユーザーは追加的なステップなしでログオンします。

強力な認証に価値はあるか?

自社のデータはすでに保護されており、不正アクセスを防ぐための合理的な手段をすでに講じていると考える企業があるかもません。実際には、ほとんどすべての環境には、非常に現実的なデータ保護の問題が潜んでいます。また、企業が強力な認証手法を使用していることを証明するよう求められることもあります。

FIDO Allianceは、世界共通の強力な認証手法を提唱しており、以下の驚くべき統計を利用して、コンプライアンスを促しています。

  • データ侵害の80%以上はパスワードの問題が原因となっている。
  • 最大で51%のパスワードは使い回されたものである。

データ侵害は、収益の損失につながるだけでなく、顧客の信頼と尊敬を失うことにもなりかねません。自分の仕事やプライバシーが尊重されると確信できない顧客は、競合他社を選ぶかもしれません。

金融業界の組織や、EU域内の人々から支払いを受ける組織にとって、強力な認証は任意選択ではありません。強力な顧客認証(SCA)の規則が2019年に発効し、欧州経済地域(EEA)でのアプリ内決済に強力な認証が求められています。

強力な認証の7つのタイプ

多くの選択肢から選ぶことができます。しかし、すべての要素が同じではありません。要素によって、保証や実用上の有用性の度合いが異なります。

ここでは、一般的な第2要素のタイプを紹介します。

  1. セキュリティの質問:セキュリティの質問は、以前からパスワードのリセットに使用されてきましたが、追加の認証要素としてセキュリティ質問を追加することを妨げるものはありません。

    設定は簡単ですが、簡単にハッキングされたり窃取されたりする可能性があります。

  2. ワンタイムパスワード(OTP):OTPは、二次認証カテゴリを使用するため、セキュリティ質問よりも安全です。ユーザーは、パスワード(「知っているもの」)の他に、デバイス(「持っているもの」)を使って認証します。

    SMSで送信される認証コードやOTPも便利ですが、トークンが傍受されたり