認証とは
認証方法とベストプラクティス
文明の夜明け以来、人類は、許可された者のみにアクセスを許可し、脅威行為者の一歩先を行くために、安全かつ便利なID認証方法を模索してきた。顔の特徴、トークン、暗号、署名、指紋、パスワードは、デジタル時代以前 に使われていた認証方法のほんの一部に過ぎない。これらの技術の進化が、今日の認証を支えている。
例えば、顔の特徴を認識するために人間の目に頼る代わりに、虹彩、網膜、指紋、声、または他の明確な生物学的特徴によって人を認証するために、 バイオメトリクス・ツールに頼る。同様に、物理的なトークンの代わりに、セキュリティー・システムは、身元証明に成功したユーザーにデジタルトークンを発行する。
しかし、脅威者は認証を迂回する方法を探し続けている。以前の時代には、犯罪者はセキュリ ティをバイパスするために印鑑を偽造していたかもしれない。今日、より多くの サイバー犯罪者がMFA(多要素認証)を バイパスするために認証トークンを盗んでおり、時には壊滅的な効果をもたらしている。例えば hackersセッション・トークンをハイジャックし、Linus Media GroupのYouTube チャンネル3つを見事に乗っ取った。
グーグル、マイクロソフト、アップルといったテクノロジー大手のサイバーセキュリティ・チームは、ますます巧妙かつ頻繁になるサイバーセキュリティ攻撃からユーザーと組織を守るため、認証システムの改善を常に模索している。
しかし、多くのユーザーはセキュリティよりも利便性を求めており、2021年にブルートフォースで盗んだパスワードを使ったアカウントの乗っ取り 試行回数が256億回に達しているにもかかわらず、マイクロソフト・ユーザーの MFA導入が遅れているのはそのためだろう。また、 マイクロソフトがExchange Onlineで Basic 認証を無効にし、MFA、スマートカード、証明書ベース認証(CBA)、サードパーティのSAML(Security Assertion Markup Language)IDプロバイダーなどのオプションを備えたモダン認証に切り替えた理由もここにある。
詳しくは、詳細ガイドをお読みください:
- 認証の意味。
- 二要素認証と多要素認証の比較。
- 認証と認可。
- 認証方法。
- パスワードレス認証。
認証の意味
認証は、システムまたはユーザーの身元を確認するのに役立つサイバーセキュリティ手法である。最も一般的な認証方法は、ユーザー名とパスワードによるものである。バイオメトリクス認証など、その他の認証方法はより高度で徹底したものである。認証の例としては、電子メールにアクセスしようとする場合、メールボックスに入るにはユーザー名とパスワードを入力する必要があります。
なぜ認証が重要なのか?
認証は、セキュリティとプライバシーの保護に不可欠である。私たちは、仕事やコミュニケーションから、ショッピングや個人データの保存に至るまで、様々な種類のアクションをオンラインで行います。認証は、銀行、クラウド・コンピューティング・プラットフォーム、ソーシャルメディア・ページなど、あらゆるデジタル空間の完全性を維持し、不正アクセスのリスクを軽減するのに役立ちます。認証があるからこそ、私たちは物理的に見えないシステムやアイデンティティを信頼できるのです。
認証ツールの中には、サイバー攻撃を遅らせたり、阻止したりするものもある。たとえば、盗んだユーザ名とパスワードを持つサイバー犯罪者は、アカウントに侵入し てデータを盗んだり、マルウェアを投下したり、 マン・イン・ザ・ミドル(MitM)攻撃を開始したりする。しかし、より深い認証プロトコルを持つシステムでは、彼らの横の動きは止められるかもしれない。
認証はまた、ユーザーのアカウンタビリティを高めるという点でも不可欠である。認証されたユーザーは、自分が追跡されていることを知っているため、悪質な行為に及ぶ可能性が低くなる。認証は、データ・セキュリティーを向上させることで、組織がセキュリティーとプライバシーの法律を遵守するのに役立つ業界もある。
認証は何のために行われるのか?
認証はさまざまな目的で使用できる:
- デバイスのセキュリティデスクトップ、ノートパソコン、スマートフォン、タブレット端末、さらにはさまざまなモノのインターネット(IoT)デバイスなど、OSを搭載するあらゆる種類のデバイスが、セキュリティのために認証を実装している。
- アカウントのセキュリティ:複数のプラットフォームが、認証を活用してアカウント・セキュリ ティを強化している。例えば、電子メールやソーシャル・メディアのアカウントは、認証 を利用して、権限のないユーザがアカウントにアクセスするのを防いでいる。金融プラットフォームは、認証によってオンライン・バンキング、デジタル決済、電子商取引を詐欺から守っている。
- クラウド・コンピューティング:Microsoft Azure のようなクラウド・コンピューティング・プラットフォームに移行する 組織が増えるにつれ、認証は、資産、データ、運用のセキュリティのために使用される。認証は、リモート・ワークを採用するネットワークやシステムなど、オンプレミス資産を持つ組織のセキュリティにも使用される。
- アクセス制御:認証は外部セキュリティだけでなく、内部セキュリティにも使用される。組織は、認証を使用して、職員がネットワーク、アプリケーション、およびデータ に必要な範囲でアクセスできるようにすることができる。
認証と認可
認証と認可は似ているように見え、この2つの用語は誤って同じ意味で使用されることがありますが、サイバーセキュリティでは2つの異なる概念です。長くなるので説明すると、認証とは、ログイン認証情報、顔の特徴、音声、または認証トークンによって身元を確認するプロセスである。認証は、認証の後に行われるものである。システムがシステムまたは人の身元を認証すると、そのエンティティが権限に基づいてリソースにアクセスしたりアクションを実行したりできるようになります。
認証と認可を簡単に説明すると、前者はエンティティにアクセスを許可するかどうかを決定し、後者は認可後にどのリソースに関与できるかを決定する。
よく使われる認証要素
最新のオペレーティング・システムを使ったことのある人や、クラウド・コンピューティング・プラットフォームで働いたことのある人なら誰でも、PIN(個人識別番号)、指紋、トークン、IPアドレスなど、さまざまな種類の認証方法や認証ツールがあることを知っている。これらの方法やツールは、認証要素と呼ばれる異なるカテゴリーに分類される。
知識要因
ナレッジ・ファクターとは、パスワードやセキュリティ質問に対する答えのように、ユーザーが知っているものであると考えられる。ナレッジ・ファクターは一般的に高速だが、ハッキングには弱い。例えば、パスワードは盗まれる可能性がある。弱いパスワードは、 辞書攻撃のようなブルートフォース攻撃に弱い。
あなたのアカウントを保護するために強力なパスワードを作成する方法を学ぶことを強くお勧めします。また、複雑なログイン認証情報のリストを管理するために、トップ パスワードマネージャの使用を検討することもできます。
ポゼッション要因
所有要素は、トークンやスマートフォンのような特定のアイテムをユーザーが所持している必要があるため、身元を証明するために知識要素よりも安全である可能性がある。例えば、ユーザーがアクセスしようとするときに、システムがワンタイムパスワードをユーザーのスマートデバイスに送信することができる。しかし、所持品は乗っ取られたり盗まれたりする可能性があるため、所持要素も完全ではない。
相続要因
最も安全な認証要素のひとつは、指紋や虹彩のようなユーザー固有の身体的特徴に依存する継承要素である。
継承要素に頼ることの最大の欠点は、システムのハードウェアがバイオメトリック・データを吸収して処理する能力を備えていなければならないことだが、最新のデバイスのほとんどはそのような機能を備えている。
また、稀な状況下では、相続ファクターが効きすぎることもある。例えば、デバイスが相続要因によって保護されているために、近親者が亡くなった子供の暗号通貨にアクセスできないという事例が複数ある。
立地要因
ストリーミング・サービスのような組織は、ジオブロッキングのような位置情報を利用して、特定の場所からのユーザーのアクセスを制限することができる。例えば、Netflix USAのようなストリーミングサービスは、カナダからのユーザーのコンテンツ視聴をブロックすることができる。しかし、ロケーションファクターには通常、回避策がある。例えば、カナダにいる人が プライベートVPN利用することで、位置情報を隠してNetflix USAにアクセスすることが理論的には可能です。
行動要因
行動ベースの認証要素は、ユーザが自分の身元を証明するために特定の行動を実行することを要求する。例えば、ボットではなく人間であることを証明するために、特定のパターンを描いたり、再認証パズルを解いたりすることが求められる。グーグルのreCAPTCHAは、リスク分析エンジンを使用し、マウスの動きを追跡して人間の行動をチェックする。
認証の種類
パスワードによる認証
認証の最も一般的な形式であるパスワード・ベース認証は、保存されているパスワード と完全に一致するパスワードを提供させることによって、ユーザーの身元を確認する プロセスである。システムは、保存されたパスワードと1文字でも不一致のパスワードを拒否する。
前述したように、hackers 最新のツールを利用することで、弱いパスワードをあっという間に推測することができる。そのため、ユーザーは少なくとも10文字以上で複雑なパスワードを設定し、定期的にパスワードを変更する必要がある。
多要素認証(MFA)
MFAは必然的に生まれた。最も洗練されたパスワードでさえ盗まれる可能性がある。 多要素認証では、未承認のユーザがシステムのセキュリティ・システムを起動させる場合、別の方法で ID を認証しなければならない場合がある。例えば、ログイン試行中にシステムが新しいデバイスまたはIPアドレスを識別した場合、ユーザーが正しいログイン認証情報を提示しても、PINまたはトークンを要求することがある。
二要素認証(2FA)
多くの人が2FAとMFAの違いについて疑問に思っている。答えは、2FAは基本的にMFAのサブセットである。前述の通り、MFAは2つ以上の認証要素を求める。2FAは、パスワードと、電子メール・アカウントまたはモバイル・デバイスに送信されるパスコードの2つだけを要求する。詳しくは、 二要素認証の基本をお読みください。
ソーシャルメディア・ページのユーザーはアカウントを保護するために2FAを使用しているが、残念なことに一部のプラットフォームはアカウントのセキュリティを収益化している。例えば、 Twitter 2ファクタ認証について読んだことがあるかもしれない。同プラットフォームはセキュリティ設定を劇的に変えている。3月19日以降、ユーザーはサブスクリプションを支払うことなくSMSベースの2FAを使用することができなくなった。
しかし、ユーザーには(今のところ)他の選択肢がある。例えば、 、高度なセキュリティのためにハードウェアキーを使ってTwitter 二要素認証を設定することができる。ハードウェアキーは、スイムスワッピング攻撃を受ける可能性のあるSMSよりも、セキュリティ上優れたツールである。
一要素認証(SFA)
その名前が示すように、SFAは、ユーザーが1つの認証を提供することだけを要求する。通常、パスワードはSFAの最も一般的なタイプである。SFAはMFAよりも便利だが、特に認証の種類が脆弱な場合、安全性が著しく低下する可能性がある。SFAはフィッシングのようなソーシャル・エンジニアリング攻撃にも弱い。
証明書ベースの認証
このタイプの認証では、システムはデジタル証明書を使用する。証明書ベースの認証は、証明書が洗練され、キーを使用し、発行機関によって取り消し可能であるため、パスワードよりも安全である。政府機関など知名度の高い組織では、セキュリティ強化のためにこの暗号技術を使用している。
バイオメトリクス認証
前述したように、バイオメトリクス認証は、指紋、声、虹彩のようなユニークな身体的特徴に依存してシステムを保護する。バイオメトリクス認証は、最も安全で便利な認証形態である。
トークン・ベースの認証
WebアプリケーションやAPI、その他のシステムでは、ユーザーを認証するためにトークンを使用することがよくあります。一言で言えば、トークンとは認証されたユーザーに発行される一意の識別子である。ハイブリッド・ワーク環境の台頭によりトークンの利用が増加する一方で、トークンの盗難も増加しています。
Basic 認証
ベーシック認証システムは、ユーザーを認証するために、ユーザー名とパスワー ドを要求するだけである。基本的な方法を使用するシステムは、hackers影響を受けやすい。現在、ベーシック認証を使用しているのは、内部のテスト・リソースか、公衆WiFi ようなパブリック・システムのみである。Basic 認証は主に、公共WiFi使用する際にユーザーがより注意しなければならない理由です。
パスワードレス認証
ユーザーや組織がセキュリティの利便性を求める中、バイオメトリクス、セキュリティ・キー、トークン、ワンタイム・コードなどのパスワードレス認証オプションが、企業環境や消費者向けプラットフォームで人気を集めている。
利便性が向上するだけでなく、多くのユーザーが脆弱なパスワードを使い続けたり、認証情報を攻撃するフィッシング攻撃の犠牲になっているため、パスワードレス認証はより高いセキュリティを提供することができる。
知識ベース認証(KBA)
KBA は、身元を認証するために保存した情報に関するその人の知識をテストする認証の一種である。KBAの例としては、育った通り、好きな色、母親の旧姓などについての質問に答えることなどがある。
KBAが脆弱な認証方法である理由はいくつかある。LinkedIn Facebookような掲示板やソーシャル・メディア・プラットフォームで、より多くのユーザー・データが公開されているため、脅威行為者がKBAをバイパスするために必要なデータをファームアップすることが容易になっている。さらに、ユーザは、複雑なパスワードを設定するよりも、秘密の質問に対する複雑な回答を設定することの方が少ない。
相互認証
双方向認証としても知られる相互認証は、接続の両当事者が、通常はデジタル証明書を使用してお互いを検証する認証の一種です。相互認証は、トランスポート・レイヤー・セキュリティ(TLS)やセキュア・ソケット・レイヤー(SSL)などの通信プロトコルで最も一般的に使用されていますが、モノのインターネット(IoT)デバイスの多くも、デバイス間接続でこの技術を使用しています。
SMS認証
SMS 認証は、MFA のコンポーネントとしてテキスト・メッセージを使用する。SMS 認証は、認証方法が無修正であるときに最もうまく機能する。例えば、あるワイヤレス・キャリアは、 SMS 認証を広告に混ぜるという妙案を思いつきました。 smishing攻撃を設計することができる。
ネットワークまたはサーバー認証
ネットワーク認証とは、ネットワークやサーバーにアクセスしようとするユーザーを識別することである。この種の認証は、通信プロトコル、VPN、ファイアウォール、およびアプリケーションへのアクセスを制御するシステムで使用される。
秘密鍵認証
秘密鍵認証を使用するシステムでは、ユーザとシステムは、2 つの当事者だけが知っている暗号化セッション鍵を共有する。これらの鍵は対称鍵である。つまり、暗号化と復号化のために機能する。セキュア・ソケット・レイヤー(SSL)のような通信プロトコルは、ウェブ・ブラウザとウェブサイト間のようなデータ転送のセキュリティを確保するために秘密鍵認証を使用する。
物理的セキュリティ・キー
物理的セキュリティ・キーは、ユーザが自分の身元を証明するのに役立つハードウェアの 一部であり、所有要因の一例である。物理セキュ リティ・キーは通常、認証のためにシステムと共有される固有のコードを生成する。物理的セキュリティ・キーは、10 年以上前には銀行や諜報機関など、知名度の高い組織でのみ使用されていた。
しかし、ゲーム、eコマース、ソーシャルメディアなど、多くの異なるタイプのプラットフォームでは、現在、物理的なセキュリティキーでアカウントを保護することができます。例えば、 、iOS Android Facebookハードウェアキー認証を有効にすることで、自分のアカウントをより強固なセキュリティで保護することができる。
認証のベストプラクティス
- トロイの木馬、スパイウェア、キーロガーなど、認証情報や機密データを盗むように設計されたマルウェアに注意してください。また、キーロガーは認証システムを騙すためにキーストローク、スクリーンショット、その他の情報を収集する可能性があるため、 、キーロガーの削除方法も学んでください。
- パスワードは少なくとも10文字以上で、数字、記号、アルファベットを組み合わせて設定する。
- 生年月日や好きな有名人の名前など、既知のパターンをパスワードに使うのは避けましょう。
- ログイン認証情報を机の上の紙切れなど、目につくところに保管しないこと。デバイス内のパスワードを暗号化する。
- 生体認証やセキュリティーキーなどのMFA方式を使って、パスワードに救いの手を差し伸べましょう。
- 認証情報を盗むことを目的としたソーシャル・エンジニアリング攻撃に注意してください。
- パスワードの再利用は避けてください。そうしないと、盗まれたパスワードが複数のアカウントに侵入する可能性があります。
- パスワードは定期的に変更しましょう。評判の良いパスワード・マネージャーを使うと便利です。
- セッションハイジャックを防ぐために、セッションの長さを制限するよう、組織のネットワーク管理者に働きかけてください。
- 管理者は、認証ログとネットワーク・データを監視して、不審なIPアドレスからの複数のアクセス試行などの不審なアクティビティに迅速に対応しなければならない。
- 組織は、より高いセキュリティのために ゼロ・トラスト・アーキテクチャの採用を検討すべきである。
