2015年10月22日

イマ旬キーワード

認証

私たちは長くパスワードによる認証を使い続けてきました。しかし、パスワードの問題が制御しきれないほど大きくなるとともに、パスワード以外の認証を使うための準備が整ってきました。いよいよ長く親しんだパスワードにお別れを告げるときかもしれません。

技術革新統括本部基盤システム事業本部 山田 達司

パスワードの問題

パスワードによる利用者の認証は、システム構築が容易で利用も簡単なことからパソコン、企業内システムからインターネット上のサービスまで幅広く、長期間にわたって使われています。パスワードには「類推することが可能」「すべての文字を組み合わせる総当たり式の攻撃が可能」などいくつかの問題がありましたが、「複雑で長いパスワードを利用する」「一定回数ログインが失敗したらアカウントをロックする」などの工夫により問題への対応がなされてきました。しかし、ここ数年被害が発生しているパスワードリスト攻撃には有効な対策が見つかっておらず、被害は継続しています。

パスワードリスト攻撃とはあるサービスから漏えいしたIDとパスワードを利用して、ほかのサービスへの不正ログインを試みることです。多くの利用者がIDとパスワードを複数のサービスで使いまわしているため、ひとつのサービスからIDとパスワードが漏えいしてしまうとほかのサービスが不正に利用されてしまいます。パスワードリスト攻撃を防ぐ最も良い方法は利用者がサービスごとに異なるパスワードを利用することですが、利用者一人一人が注意する必要があり、徹底することは困難です。

3つの認証技術

一方、利用者を認証するための技術は着実に進歩を遂げています。ここでは認証のための技術を大きく3種類に分けて紹介します。

  • デバイスにおいて利用者を認証する「新たな認証技術」
  • デバイスにおける認証結果を安全に認証サーバーへ届ける「FIDO」
  • 利用者に関する情報(ID、名前、メールアドレス)を認証サーバーからサービスへ届ける「認証連携技術」
【図】

図:3つの認証技術

新たな認証技術

パスワードに代わる認証技術は長期間にわたって研究がされていきました。代表的なものとして利用者の身体的な特徴(指紋、静脈、顔等)を利用する方法、物を所有することで本人を確認するワンタイムパスワード、ICカード等があります。いずれの方法も追加の装置が必要となることから一部での普及にとどまっていましたが、近年富士通、サムソン、アップルなどのスマートフォンが指紋認証機能を搭載したことからようやく広い普及が期待されるようになりました。さらに、指紋認証以外にも特別な装置を必要としない認証技術が登場しています。

暗証番号

「パスワードは複雑なほど安全である」という考えに慣れている方は不思議に思われるかもしれませんが、4桁の数字だけであらわされる暗証番号が再び注目されています。Windows 10がユーザー認証の方式として新たに採用したほか、サービス向けのソリューションも販売されています。参考1新たな暗証番号方式の特徴は特定のデバイスでしか利用できないという点です。初期設定時にデバイスの中に機密情報を格納することで、暗証番号はそのデバイスでしか利用できません。そのため、IDと暗証番号が漏れてしまってもアカウントを不正利用されることはありません。セキュリティの高さと利便性の高さが両立する認証方式といえるでしょう。

電話番号

スマートフォンの普及により、インターネットサービス利用者の多くが個別の電話番号を持つことになりました。このことから電話番号を利用した認証方式が登場しています。GoogleやLINEでは事前に携帯電話番号を登録し、認証時には番号あてに使い捨ての暗証番号をSMS等で通知します。SMSを受け取った利用者は暗証番号を入力することでサービスを利用することができます。また、SMS以外にも実際に電話をかけさせる方式などがあります。参考2スマートフォンを持っていれば新たな装置を用意する必要がなく、電話番号は電話会社により非常に強固なセキュリティが確保されているため、安全でコストがかからない認証方式です。

FIDO

スマートデバイスでパスワードレスの認証を実現する技術として登場したのがFIDO(Fast IDentity Onlineの略。ファイドと発音する)です。しかし、FIDO自体は認証方式を限定しておらず、認証方式に対応したAuthenticator(オーセンティケーター)を用意することで、さまざまな認証方式に対応可能な技術です。そのため、パスワードレス認証のための技術というよりは、パスワードを含め、さまざまな認証方法を利用可能な技術といった方がより正確でしょう。

FIDOの特徴の一つがデバイス内で認証を行うことです。指紋情報、生体情報、暗証番号などをサーバー側に送信することなく、デバイス内で処理が完了しますので、サーバーに格納された情報や、ネットワーク上のやりとりから情報が漏えいする危険が小さくなります。FIDOによりデバイス上で行われた認証結果を安全に認証サーバーへ送信することが可能となります。FIDOの詳細についてはイマ旬のコラム「パスワードレス認証技術 FIDO」をご覧ください。参考3

認証連携

認証技術とFIDOによりデバイスで利用者の認証が行われ、それが認証サーバーまで届けられます。この認証結果に基づき利用者の情報(ID、メールアドレス、名前など)を複数のサービスを提供するサーバーへ届けるのがSAML、OpenID connectなどの認証連携技術です。一度の認証で複数のサービスを利用することもできますので、これらの技術によりシングルサインオンを実現することも可能です。認証連携技術は現在でもインターネット上や企業ネットワークで利用されており、特にスマートフォンのアプリやゲームでは「Facebookで認証」「Googleでログイン」などのメッセージを見る機会が増えてきているのではないでしょうか。これら、他社のサービスに対して認証機能を提供しているサービスがFIDOに対応すれば多くのサービスが容易にパスワードレス認証を利用することができます。

パスワード以外の認証が普及するための技術がそろってきました。大きな被害が発生していない企業内については当面パスワードの利用が続くでしょうが、インターネット上のサービスについてはパスワードが過去のものとなる日も意外と近いかもしれません。

著者プロフィール

【写真】

技術革新統括本部基盤システム事業本部 山田 達司

NTTデータにおける認証基盤構築およびID管理ソリューションVANADISの開発に従事。モバイルに造詣が深く、Palm OSを日本語化するJ-OSの作成、関連書籍多数の執筆により"Palmの神様"と呼ばれる。現在はID管理・認証、モバイルセキュリティ、情報システムセキュリティに関する研究開発およびコンサルティングに従事する。

お気軽に
お問い合わせ
ください

そろそろパスワードから卒業しように関するお問い合わせ

お問い合わせフォーム

そろそろパスワードから卒業しように関連する情報

サービス

技術力と豊富な実績が可能にする先進のセキュリティソリューションをご提供