開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2015/07/28

「パスワード」以外にもある! 5つのセキュリティ認証方式の特徴を整理する

あらゆるアプリケーションにおける認証は、IDとパスワードを組み合わせた、いわゆるBasic認証が基本となっている。この認証の欠点は、ひとつのアカウント情報が漏れると、その他のサービスやシステムにも侵入されてしまう点だ。そこで今回は、パスワードの定期変更、二要素認証、生体認証などいくつかの手法や技術を紹介するので、社内の認証システムや新規Webサービス開発に役立ててほしい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

パスワードは昔から存在するが万能ではない

photo
 さまざまなサービスを利用するとき、私たちは仕事や生活に密着したあらゆる場面で、IDとパスワードの組み合わせを要求される。

 身近な例では銀行ATMだ。銀行ATMでは、磁気カードが本人ID(ログイン名あるいはID)となり、4桁の暗証番号がパスワードとして機能する認証方法を採用している。このモデルは昭和40年代から一般に普及しており、すでに40年以上の歴史がある。

 この「パスワード」方式は、査証の信頼性、有効性について古くから議論されている。現在でも、電話で暗証番号を他人に教えてしまったり、誕生日を暗証番号にしている例が後を絶たない。

 この問題に対して、多くの金融機関や企業ではパスワードの定期変更を推奨することが多いが、専門家からはその効果や有効性、弊害が指摘されている。そもそもパスワードを定期的に変更しても、数時間、数日で終了できる総当たり攻撃に対しては意味はない、システムや管理者に強いる負担に見合わない、といった指摘だ。

 では、こうしたパスワード管理の問題には、いかなる対処方法があるのだろうか。これは難しい問題で、筆者はこれといった決定打、解は存在しないと考える。重要なのは、パスワード方式を含めたさまざまな認証方式を理解し、必要に応じて適切な認証方法を選ぶことだ。以下にセキュリティ対策や手法が有効な場面や弱点などを整理したので、社内システムや新規Webサービス開発の認証設計の際などに参考にしてほしい。

各認証方式の違いや特徴を把握することが重要

関連記事
1. パスワード/パスフレーズ
 パスワードは古くから「合言葉」として使われた手法である。現在では、辞書攻撃、総当たり攻撃の性能が上がっているため、パスワード方式認証の限界まで叫ばれている。また、近年はパスワード認証に依存するシステムが多すぎて同一(または類似)パスワードの使いまわしが問題になっている。

 しかし、有史以来廃れないこの手法は、管理コスト、利便性、信頼性のバランスにおいて今だ有効な手法のひとつでもある。この傾向は当面変わらないが、サービスや守るべき情報によっては、ID/パスワードによる認証では不十分であるとの認識を持ってほしい。

2. 生体認証
 これも古くからある手法で、現在は指紋認証、静脈認証などが一般化している。パスワードのように覚える手間がなく、本人性の確認においては高い信頼性を期待できる。反面、センサーの精度、基準となるデータの取集・管理などにコストがかかるといった問題がある。

 簡易的な生体認証システム(スマホの指紋認証など)も普及しているが、これらは精度に問題があり、信頼性に難がある。また、基準となる生体情報は一般に変更が不可能であり、ハッキングされた場合に認証そのものを無効とするしかない。結局、パスワードなどとの併用が避けられない。なお、生体認証には、顔認識、声紋認識、筆跡/筆圧/その他行動分析、などの技術もある。

【次ページ】家計簿アプリ、オンライン銀行との連携で使われる認証とは?

ID・アクセス・ログ管理 ジャンルのセミナー

ID・アクセス・ログ管理 ジャンルのトピックス

ID・アクセス・ログ管理 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!