セキュリティ
第1章 - 2節
約12分
認証技術
認証と認可
認証技術
認証(Authentication)は、ユーザーや機器の身元を確認するプロセスです。「あなたは本当に〇〇さんですか?」を確認します。
認証の3要素
認証は以下の3つの要素(ファクター)に分類されます。
1. 知識要素(Something you know)
本人だけが知っている情報による認証
例:
- パスワード
- PIN(暗証番号)
- 秘密の質問
リスク: 漏洩、推測、ソーシャルエンジニアリング
2. 所持要素(Something you have)
本人だけが持っている物による認証
例:
- ICカード、スマートカード
- ワンタイムパスワード(OTP)トークン
- スマートフォン(SMS認証、認証アプリ)
リスク: 盗難、紛失、複製
3. 生体要素(Something you are)
本人の身体的特徴による認証
例:
| 種類 | 特徴 |
|---|---|
| 指紋 | 普及率高、偽造リスクあり |
| 虹彩 | 精度高、コスト高 |
| 静脈パターン | 偽造困難 |
| 顔認識 | 非接触、照明に影響 |
| 声紋 | 環境ノイズに影響 |
リスク: 偽造、生涯不変のため漏洩時の影響大
多要素認証(MFA)
複数の要素を組み合わせてセキュリティを強化する方式です。
2要素認証(2FA)の例:
パスワード(知識) + SMS認証コード(所持)
パスワード(知識) + 指紋(生体)
重要: 同じ要素を2回使っても「多要素」にはならない
- パスワード + PIN → 1要素(知識×2)
- パスワード + OTP → 2要素(知識 + 所持)
認証プロトコル
RADIUS/TACACS+
ネットワーク機器の認証を一元管理するプロトコル
| 項目 | RADIUS | TACACS+ |
|---|---|---|
| 開発元 | Livingston | Cisco |
| ポート | UDP 1812/1813 | TCP 49 |
| 暗号化 | パスワードのみ | 全データ |
| 用途 | ネットワークアクセス | 機器管理 |
Kerberos
チケットベースの認証プロトコル(Active Directoryで使用)
1. クライアント → AS(認証サーバ): ログイン要求
2. AS → クライアント: TGT(チケット発行チケット)
3. クライアント → TGS(チケット発行サービス): サービスチケット要求
4. TGS → クライアント: サービスチケット
5. クライアント → サービス: サービスチケットでアクセス
OAuth 2.0 / OpenID Connect
Webサービスの認可・認証フレームワーク
- OAuth 2.0: 認可(アクセス権限の委譲)
- OpenID Connect: OAuth 2.0上に構築された認証レイヤー
認証と認可の違い
| 項目 | 認証(Authentication) | 認可(Authorization) |
|---|---|---|
| 目的 | 「誰か」を確認 | 「何ができるか」を制御 |
| 質問 | あなたは誰? | あなたは何ができる? |
| 例 | ログイン | ファイルアクセス権限 |
重要ポイント
- 3要素: 知識・所持・生体を組み合わせて多要素認証
- Kerberos: チケットベース、Active Directoryで使用
- OAuth/OIDC: Webの認可・認証標準
- 認証≠認可: 目的が異なる