ITセキュリティ入門(IT初心者向け)-6:ユーザやデータは本物か?

ユーザやデータは本物か?

システムを使うユーザや、やり取りするデータが正しいかどうかを確認することは、セキュリティの観点からは必須です。

認証(AuthenticationまたはCertification)とは、ユーザやデータなどを検証して、それらが確実に本物であることを確認することです。ユーザの場合であれば、第三者に対して自分がなりすましではなく、本人であることを証明、確認します。また、データの場合は、改ざんや破壊などによって、不正な変更や異常がないことを確認します。

本人であることを確かめるための認証方式については、次のように分類できます。

  • 知識認証(ID・パスワードなど):本人のみが知り得る情報を確認
  • 所有物認証(鍵・トークンなど):本人のみが所有しているものを確認
  • バイオメトリクス認証(指紋、声紋など):本人の身体的・行動的特徴を確認

認証の強度を上げるために、次のような方式を用いることもあります。

  • 2要素認証:異なる認証方式を2つ用いる、例:キャッシュカード(所有物)と暗証番号(知識)
  • 2段階認証:同じ認証方式を2つ用いる、例:ID・パスワード(知識)と認証コード(知識)

また、やり取りするデータに改ざんや異常がないことを確認するために、そのデータをもとに生成したハッシュ値という特定の長さのコードを用いて、改ざんや異常がないことを検知するメッセージ認証があります。

マイノート(これまでの私の体験・見聞から一言)

システムを使う上でまず必要なのが、このユーザ認証です。大抵のシステムでIDとパスワードを使用してログインをすることになると思いますが、このID・パスワードの管理がよく問題になります。基本的には、ユーザ個人ごとにID・パスワードを付与するべきですが、場合によっては共有のID・パスワードを使う場合もあります。この場合は、この認証ではユーザ個人を特定することはできないし、誰でもログインして使用できるという前提で、システムを運用しなければなりません。

また、ユーザ個人ごとにID・パスワードを付与する場合は、パスワードの管理が大変重要です。ユーザ各個人でパスワードを管理して、他人に知られないようにしなければなりませんが、つい紙などに書いて人目につくようなことになったり、誕生日や電話番号などの容易に推測可能なパスワードを設定したりしてしまいます。

安易なパスワードを設定できないように、複雑なパスワード(桁数を長くする、英数字記号を含むなど)を設定するように、また定期的にパスワードを変更するように、システムで制限することが多いと思います。しかし、こうなるとパスワードを忘れたりして、使いたいときにシステムが使えないことがよく起こります。そのために、最近はパスワードを管理するためのツールを使用することも増えてきたかと思います。また、パスワードを定期的に変更することが安易なパスワードを設定することにつながるとして、複雑なパスワードを変更せずにずっと使用するべきという考え方もあるようです。

いずれにしろ、パスワード管理は永遠の課題ですね。

Follow me!

あなたのご意見をお知らせください。