2018.02.22

【認証の基本②】生活のさまざまな場面で登場する「認証」

前回は、ログインページを守る“リスクベース認証”について解説しました。そもそも“認証”とは、ネットワークやサービスを利用しようとするものに対し、その正当性があるかどうかを確認・証明することで、主体や目的・方法等により、さまざまな種類に分かれます。今回は、そんな認証の基礎をご紹介します。

◆2者間認証／“Authentication”

認証者と被認証者の2者間で、正当性を確認・証明する方法。英語の“Authentication”は、「証明、立証、認証」などの意味です。サービス提供事業者とユーザー間で行われる、ID・パスワードの入力、生体認証などの多くがこれにあたります。

＞被認証者が人の場合
主体となる人が物を購入したり、サービスを利用したりする時に、正当性を証明する時に利用します。主に以下の3つの手段があります。

①特定の“知識”を利用する
ID・パスワードや「秘密の質問」など、認証者と被認証者間で共有する“知識”を利用する方法です。最も汎用性が高く一般的に広く用いられる方法である一方、情報の漏えいや盗難などによりセキュリティ面でのリスクもあります。

②“身体的特徴”を利用する
指紋や静脈、顔、声紋、虹彩など、被認証者の身体的特徴を利用する方法で、“生体認証”とも呼ばれます。盗まれたり貸し借りされたりする心配がないうえ、利用者にとっても手ぶらで認証が行えるため、ATMや決済等の金融サービスなどを中心に普及しています。事業者にとっては導入コストが課題です。

③特定の“所有物”を利用する
マトリックス表やワンタイムパスワード用のトークン、携帯電話、ICカードなど、被認証者が固有で所有しているモノを利用する方法です。“知識”よりもなりすましや乗っ取りのリスクは低くなりますが、認証の作業が複数デバイスにまたがるため、事業者・ユーザーの双方にとってやや煩雑な認証行為でもあります。

＞被認証者がモノの場合
パソコンやスマートフォンなどのモノが主体となり、システムやネットワークなどにアクセスをしようとする場合に、正当性を証明します。機器に固有に割り当てられたIPアドレスやMACアドレス、発信元の電話番号などが利用されます。今後IoT機器の増加に伴い、高いセキュリティが求められる分野です。

＞被認証者が情報の場合
被認証者が情報である場合に、その情報が不正に改変・改ざんされていないかを確認することです。「メッセージ認証」とも呼ばれます。デジタル署名やメッセージ認証コード、ハッシュ関数を用いて、情報・データ・プログラムの正当性を確認します。

◆3者間認証／“Certification”

認証者が、第3者機関の情報を利用して、被認証者の正当性を確認・証明する方法。英語の“Certification”は、「証明、保証」などの意味です。デジタル署名や電子証明書などがこれにあたり、例えばクレジットカード決済などもこの3者間認証を利用しています。さらには電子証明書を応用したSSLサーバー証明書やPKI（Public Key Infrastructure）／公開鍵暗号基盤といった技術も進み、こちらも、IoT機器周辺のセキュリティ向上に向け進化しています。

一口に「認証」と言っても実際に行われている行為は、これだけの種類に分けられています。次回は、複数の認証方法・要素を組み合わせる「二要素認証」「多要素認証」についてご紹介します。