スマホでメールを見たりSNSを使用したり、会社・自宅のパソコンでメールを確認したり。日常当然のように行っているこれらの操作は「ユーザーの認証」を行っていることが前提に成り立っています。今回は当たり前のように行っている認証について取り上げてみます。
■ 目次 ■
アクセス制御の3STEP
まずは認証の背景になっているアクセス制御からです。
利用者を特定し、その利用者に対して適切なサービスを提供するまでのステップは3段階あります。
・第1STEP・・・識別
・第2STEP・・・認証
・第3STEP・・・認可
一般的な会員制ショッピングサイトを例にしてみます。
まず、WEBサイトでユーザーIDを入力します。メールアドレスだったりする場合もありますが、この情報が
続いてIDとセットでパスワードを入力します。これが
識別と認証が無事完了するとあなたであることが認可され
普段何気なく行っているログインの作業をプロセスごとに書き出すと上記のようになります。
ここで一番大切なのがSTEP2の認証なのです。
認証方法のいろいろ
認証方法とは本当にあなたであることを証明し、相互に確認するための方法になります。
上記のショッピングサイトの場合だと、「パスワードの入力」が認証方法になりますね。
この方法はもっともポピュラーで手軽な手段となりますが、決して堅牢(セキュリティ的に厳重かどうか)ではありません。
認証において一般的に以下の3要素を使用した方法が普及しています。
・記憶/知識・・・本人のみが記憶・知っている情報による認証。パスワードや秘密の質問などが該当。
・所持・・・本人のみが所有しているものによる認証。乱数表、電子機器などが該当。
・生体・・・本人の生体データによる認証。指紋・声帯・顔などが該当。
これらの要素を組み合わせることでセキュリティのレベルを高めることができます。
例えば先日私が行ったAmazonのアソシエイトプログラムへの参加申請の場合、
・パソコンを使用してパスワードを入力
・その後、携帯電話に電話が掛かってきて本人確認を実施(自動応答メニューです)
・与えられた情報を再度パソコンで入力
という経緯でした。
つまりは上記の記憶と所持の要素を混ぜて認証に使用することで認証のレベルを上げていることになります。(組み合わせの種類によって二段階認証、二経路認証、二要素認証などといいます)
銀行のWEB口座などでは手元に郵送された乱数表を用いて認証したりするのも同様の手法となります。
※乱数表サンプル。参照:東京スターダイレクト
生体認証について
近年増えてきているのが生体認証です。オフィスの入り口のゲートで顔認証を行い、その人が所属するフロアにエレベータが自動で向かう、という仕組みの導入をテレビで見たりもしますね。
記憶も所持もする必要のない生体認証ですが、システム化するにはチューニングが必要となってきます。その要素が
・本人拒否率・・・本人を誤って拒否してしまう確率(FRR)
・他人受入率・・・他人を誤って許可してしまう確率(FAR)
です。
本人拒否率を高くすると他人受入率は下がり、より安全なシステムになりますが、本人でもなかなか認証が通らないという仕組みになり利便性が落ちます。
生体認証においてはこの二つの要素のバランスをうまくコントロールすることが求められます。
いかがでしたか?
セキュリティと利便性はトレードオフの関係にあり、どちらかを重視すると片方の評価が下がることになります。
パスワードの自動記憶などはかなり便利でついつい使ってしまいたくなりますが、セキュリティの観点からは推奨されていない機能になります。正しい知識とリスクを判断する能力が提供者だけでなく利用者にも求められる時代。
まずは自分の情報は自分で守る、という意識を持つことが必要と思っています。
