セキュリティとユーザビリティの両立「電子認証」

認証システムを３つに分類

認証システムには「電子認証」のほかに、様々な認証方式が提供されています。正規のユーザを特定するために「使うもの」によって、認証の仕組みを３つに分類して、それぞれのメリット・デメリットを整理することで「電子認証」の特徴を理解しましょう。

●正規ユーザが記憶しているもの（ID・パスワード）

　もっとも一般的な認証方式。正規ユーザだけが知っている（記憶している）情報で認証する。

• 【メリット】　：システムがシンプルで安価
• 【デメリット】：管理が大変（本人が忘れる・盗まれる・定期的な変更）

●正規ユーザが所有しているもの（ICカード・USBトークン）

　物理的な「モノ」を所有する者を正規ユーザとして認証する。電子認証はこれに該当する。

• 【メリット】　：認証のための操作が簡単（ワンタッチ・挿すだけ）
• 【デメリット】：物理的な認証装置が必要、紛失・盗難・貸し借り、物理的な故障など

●正規ユーザの身体的な特徴（指紋・静脈・虹彩・音声）

　他人と異なる身体的な特徴を読み取る仕組み。生体認証。

• 【メリット】　：紛失や盗難、忘れることがない。端末などの持ち運びが不要
• 【デメリット】：PC一体型、専用装置や認証装置が高価　ケガ・体調変化による認証精度の問題

電子認証は、近年、社員証や交通カードとして普及しているFeliCaなどのICカードで対応できる製品が増えており、社員証との共用などによって、管理工数やコストを抑えることができます。また、定期的なパスワード変更もなく、パスワード忘れの心配も不要、認証時にはタッチ式で操作も簡単なため、ユーザビリティの高い認証システムといえます。

さらに必要であれば、紛失・盗難のリスクに対して安全性強化のため、パスワード入力と併用する「二要素認証」採用することもできます。コスト面・管理面・操作性・安全性のバランスのとれた総合力が「電子認証」の特徴となります。

「電子認証」が求められるセキュリティ事情

「電子認証」が求められる背景を考える時、もっとも広く普及している「ID・パスワード」による認証方式について、現在のセキュリティ事情を含めて捉える必要があります。

既にパスワード管理のデメリットとして「盗難」のリスクがあることを指摘しました。近年、パスワードを盗み出す側の手法が非常に高度化してきていることが重要な背景になります。具体的な手法を見ていきましょう。

■フィッシング

• ・なりすましメールや偽造サイトによって、IDやパスワードを入力させ盗み取る手法
• ・巧妙なメールの文面や本物そっくりのニセサイトは、見た目では判別が困難なほど高度化
• ・近年増加傾向にある特定の企業をターゲットにする「標的型攻撃」の初期段階は同じ手法

■スパイウェア

　フリーソフト利用やサイト閲覧からPCなどにスパイウェアを仕込み、ID・パスワードを盗み取る。

• ・キーロガー：　キー操作を記録し、外部に送信する。パスワード入力を盗まれる
• ・トロイの木馬タイプ：　バックドアと呼ばれる侵入口を開け、外部から情報を盗む

■パスワードクラック

　パスワードを機械的に予測し、判明するまで、繰り返し試す。

• ・類推攻撃：　名前・誕生日など、個人の属性情報などから類推する
• ・辞書攻撃：　よく使用されるパスワードの辞書をベースに繰り返す
• ・総当たり攻撃：　アルファベットと数字の組み合わせを総当りで試す

コンピュータの処理能力の向上は、皮肉にも攻撃者の処理能力向上にもなり、総当たり攻撃などの判別効率を高めてしまっています。これに対応するため、パスワードは、最低でも8桁から10桁以上、大文字・小文字・記号の組み合わせを必須とし、さらに1ヶ月から3ヶ月単位での定期的な変更を強いられる状況となっています。

この状況はユーザの負担も大きく、多くの企業でパスワードの管理が困難になっています。そこで、カードやUSBなどの電子デバイスを介在させる「電子認証」を採用しているのです。現在、「ID・パスワード」による認証システムを利用している企業で、更に安全性を高める必要に迫られている場合も総合的なバランスに優れる「電子認証」を検討する価値があります。