前回の続きです。
これだけは押さえておきたいセキュリティ対策
パスワードだけでは危ない!セキュリティ対策の第一歩「二要素認証」
二要素認証とは
教育分野でお仕事される皆さんの多くは情報システムの利用時に、IDとパスワードによる認証を行っているのではないでしょうか?パスワードは簡単すぐると第三者に容易に推測されてしまい、逆に複雑すぎると正規の利用者が記憶できないなど、運用は以外と難しいものです。
そういったIDとパスワードだけに頼った認証の問題を解決するため、広く用いられている認証方法が「二要素認証」です。認証の手段は大きく分けると、①正規の利用者だけが知っている情報(知識)、②正規の利用者だけが持っているモノ(所持)、③正規の利用者の身に備わっている特徴(存在)の3種類があります。
具体的には、①がパスワード、②がICカードやUSBキー、③が指紋や静脈、顔による認証などです。「二要素認証」は、これら3種類のうち、異なる2つの手段を組み合わせて認証を行う方式です。
①正規の利用者だけが知っている情報(知識)
正規の利用者だけが「知っている情報(知識)」をその人が知っているか否かで判断する。
メリット
- 運用が安い、簡単
デメリット
- 複雑すぎる「知識」は記憶できない
- ハッキングされやすい、盗まれたことに気づきにくい
- 1回盗まれると、簡単に共有されてしまう
- パスワードの強度を上げると、複雑になりユーザから管理者へ「パスワードが分からない」という問い合わせが増える
②正規の利用者だけが持っているモノ(所持)
正規の利用者だけが「持っているモノ(所持品)」をその人が持っているか否かで判断する
メリット
- 持つだけで簡単
- 「知識」に頼らず、安全性を向上できる
- 盗まれたことが、すぐわかる
デメリット
- カードやトークン等の盗難・紛失・偽装の恐れがある
③正規の利用者の身に備わっている特徴(存在)
正規の利用者の「身に備わっている特徴(利用者自身の存在)」でその人か否かを判断する
メリット
- 「知識」や「所持」に頼らず、安全を向上できる
- 偽装が困難
- 盗難、紛失の恐れがない
デメリット
- 特別な装置が必要で、運用コストが高い
- 生体認証の種類や装置によって認証精度に大きなばらつきがある
※顔認証はWEBカメラで利用可能なので、低コストで利用できる
認証の種類は単独だと、それぞれ一長一短。長所短所が異なる種類を組み合わせることで、お互いの弱点を補ってセキュリティを強化するのが二要素認証です。
IDとパスワードの組み合わせは「二要素認証」ではない?
IDとパスワードによる認証は、IDという情報とパスワードという情報の2つで認証を行うため、「二要素認証」であると思いがちです。しかし、IDは正規の利用者以外も知っているものなので、認証要素にはなりません。
「知識」による認証を実際に行うために、IDとパスワードという2つの組み合わせを用いているにすぎません。よって、二要素認証には該当しないのです。
二要素認証でセキュリティを強化 実際はどのようにして活用するの?(パスワードとICカードと生体認証)
各デバイスの長所を組み合わせることでセキュリティを強化
二要素認証は、異なる種類の認証手段を2つ組み合わせることで、セキュリティを強化するものでした。例えば、パスワード(知識)とICカード(所持)による二要素認証の場合、万が一パスワードが外部に漏えいしてしまったとしても、ICカードがなければ情報システムは使えないため、不正利用を防ぐことができます。
逆に、ICカードが盗まれても、パスワードを知られなければ不正利用は防げます。パスワード(知識)と生体認証(存在)による二要素認証も同様です。このように二要素認証は3種類の認証手段それぞれの長所を活かし、かつ、各認証手段がお互いに補うことで、一種類のみの認証に比べて、セキュリティを各段に教科できるのです。
ただし、ICカードは忘れたり紛失したりする恐れがあり、生体認証は比較的コストが高いなど、各要素手段には短所もあり、導入の際はそれらを考慮する必要があるでしょう。
利用者が知っていること
具体例
- パスワード
- 暗証番号
必要なもの
- キーボード
- マウス
- タッチパネル
利用者が持っているもの
具体例
- ICカード
- クレジットカードなど
- セキュリティトークン
- 電子証明書
- 身分証明書
必要なもの
- カードリーダ
- セキュリティトークン
利用者の身体的特徴
具体例
- 指紋
- 静脈
- 網膜
- 声紋
必要なもの
- 指紋リーダー
- 静脈リーダー
- カメラ
- マイク
セキュリティのレベル
高 ICカード+生体認証(二要素認証)
・ パスワード+生体認証(二要素認証)
中 生体認証のみ
・ ICカード
低 パスワード