多要素認証

多要素認証とは

多要素認証とは、別の認証タイプを組み合わせた認証方式のことです。ユーザを認証するとき、パスワード認証、指紋認証や顔認証など方法はいくつかあります。こういった認証方式はユーザの何を識別しているかによって5つに区分されます。例えばパスワードであれば人は記憶している情報を認証として扱っています。指紋認証であれば人の身体的特徴である情報を認証として扱っています。こういった別々の認証方式を組み合わせることで、一つの認証情報が漏れ出たとしても、不正な認証を許さず、他の認証方式でブロックすることができるのです。

では、よくパスワードと秘密の質問の組み合わせの認証があります。これは多要素認証の観点からセキュアとは言えません。記憶情報であるパスワードが突破される何かの原因があれば、同じ記憶の中に存在する秘密の情報も漏洩している可能性があるためです。情報に秘密と付ければ安心な感じがしますが合理性に欠けるシステムと言えます。

Type1 知っている

脳

記憶認証情報(SYK、Something You Know)とは、パスワード認証やPIN認証、秘密の質問のように人の記憶を認証情報として扱う認証方式群です。

Type2 持っている

所持認証情報(SYH、Something You Have)とは、ICカードやトークンなどのように機器を持っていることを認証情報として扱う認証方式群です。

認証のためにアクセスを許可した所持者に渡すものをトークンといいます。トークンで認証するには、トークン固有でありながら毎回異なる値を認証側に提示する必要があります。

Type3 身体

身体認証情報(SYA、Something You Are)とは、いわゆる指紋や顔など、自分の体の特徴を使った生体認証方法です。

生体認証は何かを記憶することもなく、何かを所持する必要もなく使い勝手の良い認証であると言えます。その一方で、身体に対する特徴付けによりユーザー固有のものであることをシステムとして判断しなければなりません。ただ、病気の時なと体調の優れないときは、正常時を維持することが難しいでしょう。こういった状態を取り込みつつ、固有の特徴として識別しなければなりません。

Type4 場所

位置認証情報(SYA、Something You Place)とは、認証者の現在地により本人であることを確認する方法です。

同じユーザから、日本からアクセスが来ていたのに1時間もたたないうちにワシントンからアクセスが来たら、怪しいですよね。GPSのほか、電話のコールバック等によるIP/MACアドレスから現在地を確認します。

Type5 行動

歩く

行動認証情報とは、歩き方など、身体的特徴ではなく習慣化している癖によって本人を確認する方法です。歩くスピード、姿勢や歩幅など、完全にコピーするのは意外と難しいものです。

こういった情報は生体認証としても扱われることもあり、行動認証情報はType3の身体認証情報としてカテゴライズされる場合もあります。

おすすめ書籍

新版 CISSP CBK 公式ガイド

セキュリティ専門家の国際的認証基準として需要が高まっているCISSP(Certified Information Systems Security Professional)。2005年既刊の邦訳版から12年が経ち、CISSPのドメインが変更され内容・訳語が古くなったため、最新の第4版の邦訳版を日本語公式ガイドブックとして出版。技術知識はもちろん、経営・法律知識まで完全に網羅し、セキュリティの設計・運用・実装を理解するための最高のテキスト。