認証とは?
人、アプリ、サービスにデジタル システムとリソースへのアクセスが許可される前にこれらの ID の確認がどのように行われるかを学びましょう。
認証の定義
認証とは、適切なアクセス権を持つ適切な人、サービス、アプリだけが組織のリソースに到達できることを企業が確認するために使用するプロセスです。これはサイバーセキュリティにおける重要な部分ですが、その理由は、悪意のあるアクターの最優先事項がシステムへの無許可アクセス獲得であるからです。これを達成するために、アクセス権を持つユーザーのユーザー名とパスワードが盗まれます。認証プロセスには、次の 3 つの主要ステップが含まれます。
- 本人識別: ユーザーは自分が誰であるかを、一般的にはユーザー名を使用して示します。
- 認証: 一般的に、ユーザーは自分が自称するとおりの人物であることを証明するためにパスワード (そのユーザーだけが知っているもの) を入力しますが、セキュリティを強化するために、多くの組織は本人が所持するもの (スマートフォンまたはトークン デバイス) または本人の身体の一部 (指紋または顔スキャン) によってその人の ID を証明することも要求しています。
- 認可: ユーザーがアクセスしようとしているシステムに対してそのユーザーがアクセス許可を持つことが、システムによって確認されます。
認証が重要である理由
認証が重要であるのは、組織のシステム、データ、ネットワーク、Web サイト、アプリケーションを攻撃から保護するのに役立つからです。また、個人データの秘密を守ることにも役立つので、銀行取引や投資などのビジネスをオンライン上で行うときのリスクを抑えることができます。認証プロセスが強力ではないときは、攻撃者が個人のパスワードを推測する、あるいは人々をだまして資格情報を手渡すよう仕向けるといった方法で簡単に特定のアカウントを侵害することができてしまいます。このことは、次のようなリスクにつながるおそれがあります。
認証のしくみ
ユーザー側では、認証を行うにはユーザー名、パスワード、およびその他の認証方法 (たとえば顔スキャン、指紋、または PIN) の設定が必要です。ID を保護するために、これらの認証方法はどれも、そのサービスのデータベースには保存されません。パスワードはハッシュされ (暗号化ではなく)、そのハッシュがデータベースに保存されます。ユーザーがパスワードを入力すると、入力されたパスワードもハッシュされて、これらのハッシュが比較されます。この 2 つのハッシュが一致する場合は、アクセスが許可されます。指紋や顔のスキャンの場合は、その情報がエンコードされ、暗号化されてからデバイス上に保存されます。
認証方法の種類
従来の認証では各システムが本人確認を行いますが、対照的に先進認証では、信頼できる独立した ID システムに認証プロセスが委任されます。また、使用される認証方法の種類も変化しています。ほとんどのアプリケーションではユーザー名とパスワードが要求されますが、悪意のあるアクターがパスワード盗みの腕を上げてきているため、セキュリティのコミュニティは ID の保護に役立つ多数の新しい方法を開発しています。
パスワードベースの認証
パスワードベースの認証は、認証方式として最も一般的です。多くのアプリとサービスでは、人々がパスワードを作成するときに、悪意のあるアクターに推測されるリスクを縮小するために数字、英字、記号の組み合わせを使うことが求められます。しかし、パスワードにはセキュリティと便利さの点で課題もつきものです。人々が自分のオンライン アカウントごとに異なるパスワードを考えて記憶するのは簡単ではなく、これが理由でパスワードが再利用されることも多くなっています。また、攻撃者はさまざまな戦術を使ってパスワードを推測するか盗み出し、あるいは人々が不本意ながらパスワードを共有するように仕向けます。このような理由から、組織はパスワードよりも安全な、他の認証方式に移行しています。
証明書ベースの認証
証明書ベースの認証とは、暗号化を用いる方法であり、デバイスや人々が他のデバイスやシステムに対して、自分が誰であるかを示すことができます。一般的な例の 1 つはスマート カードで、もう 1 つは従業員のデバイスからネットワークまたはサーバーに送信されるデジタル証明書です。
生体認証
生体認証では、生物学的な特徴を使用して人々の本人確認を行います。たとえば、多くの人々は指を使ってスマートフォンにサインインしており、コンピューターの中にはユーザーの顔または網膜をスキャンして本人確認を行うものがあります。この生体認証データは特定のデバイスにもリンクされているため、攻撃者はそのデバイスへのアクセスも獲得しない限り、そのデータを使うことはできません。この種の認証が使われることが増えていますが、その理由は人々にとって簡単であり (記憶しておく必要がありません)、悪意のあるアクターにとっては盗むのが難しいため、パスワードよりも安全であるからです。
トークンベースの認証
トークンベースの認証では、デバイスとシステムの両方が、時間ベース ワンタイム PIN (TOTP) と呼ばれる新しい一意の数字を 30 秒間隔で生成します。この数字が一致すると、そのユーザーがそのデバイスを所持していることがシステムによって確認されます。
ワンタイム パスワード
ワンタイム パスワード (OTP) とは、1 回のサインインのために生成されるコードであり、発行から短時間で失効します。これは SMS メッセージ、メール、またはハードウェア トークンを介して届けられます。
プッシュ通知
アプリやサービスの中には、ユーザー認証にプッシュ通知を使用するものがあります。この方法では、アクセス要求を承認するか拒否するかを尋ねるメッセージが人々のスマートフォンに送信されます。人々は、プッシュ通知の送信元であるサービスにサインインしようとしているにもかかわらず、誤って通知を承認してしまうこともあるため、この方法は OTP 方式と組み合わせて使用されることもあります。OTP を使用する場合は、システムによって一意の数字が生成され、ユーザーはこれを入力する必要があります。これで、認証のフィッシング耐性が高くなります。
音声認証
音声認証では、サービスへのアクセスを試みる人に電話がかかってくるので、その指示に従ってコードを入力するか、口頭で本人確認を行います。
多要素認証
アカウント侵害をなくす最善の方法の 1 つは、2 つ以上の認証方法を要求することであり、これには前述の認証方法のどれを使用してもかまいません。ベスト プラクティスとして、次のうち 2 つを要求することをおすすめします。
- ユーザーが知っているもの。一般的にはパスワードです。
- ユーザーが所持しているもの。たとえば、簡単には複製できない信頼できるデバイス (スマートフォンやハードウェア トークンなど) です。
- ユーザーの身体の一部。たとえば指紋や顔のスキャンです。
たとえば、多くの組織はアクセスを許可する前にパスワード (ユーザーが知っているもの) を要求し、さらに OTP を SMS 経由で信頼できるデバイス (ユーザーが所持しているもの) に送信します。
2 要素認証
認証 (authentication、AuthN と表記されることもあります) と認可 (authorization、AuthZ と表記されることもあります) は同じ意味で使われることもよくありますが、この 2 つは互いに関連があるものの、まったく別のものです。認証とは、サインインするユーザーが自称するとおりの人物であることの確認ですが、認可とはそのユーザーが必要としている情報にアクセスするための適切な許可を持っていることの確認です。たとえば、人事担当者には給与や従業員ファイルなどの、機密性の高いシステムへのアクセスが許可されますが、他の人々はこれらを見ることはできません。認証と認可のどちらも、生産性の実現と機密データ、知的財産、およびプライバシーの保持に不可欠です。
認証セキュリティに関するベスト プラクティス
アカウント侵害は、攻撃者が企業のリソースへの無許可アクセスを獲得するためのきわめて一般的な方法であるため、強力な認証セキュリティを制定しておくことが重要です。ここでは、お客様の組織を保護するためにできることをいくつかご紹介します。
-
多要素認証を実装する
アカウント侵害のリスクを縮小するためにできることの中で最も重要なのは、多要素認証をオンにして、少なくとも 2 つの認証要素を要求することです。認証方法が 1 つの場合と比べて、攻撃者にとっては盗みがはるかに難しくなります。特に、生体認証を使う場合や、ユーザーが所持しているもの (たとえばデバイス) を認証に使う場合です。従業員、顧客、パートナーにとって可能な限りシンプルにするために、さまざまな要素の中から本人が選べるようにしましょう。ただし、認証方法はどれでも同じではないことに注意してください。セキュリティのレベルの差があります。たとえば、SMS 受信は何もしないよりは良いのですが、プッシュ通知のほうがセキュリティの点では上です。
-
パスワードレスに移行する
多要素認証の設定が完了したら、さらに、パスワードの使用を制限してその他の 2 つ以上の認証方法 (たとえば PIN と生体認証) を人々に使用させるとよいでしょう。パスワードの使用を減らしてパスワードレスに移行すると、サインインのプロセスが効率化されてアカウント侵害のリスクが縮小します。
-
パスワード保護を適用する
従業員教育の他にも、推測されやすいパスワードの使用を減らすのに使用できるツールがあります。 パスワード保護 ソリューションを利用すると、Password1 のような、よく使われているパスワードを禁止することができます。また、お客様の会社または地域に固有のカスタム リスト (たとえば地元のスポーツ チームや名所の名前) を独自に作成することもできます。
-
リスクベースの多要素認証を有効にする
認証イベントの中には、 侵害のインジケーターとなるものもあります。たとえば、従業員が会社のネットワークに新しいデバイスから、または通常とは異なる場所からアクセスしようとしているときです。その他のサインイン イベントは、変則的ではなくても高リスクの場合があります。たとえば、人事担当者が従業員の個人特定可能な情報にアクセスする必要があるときです。リスクを縮小するには、お客様の ID およびアクセスの管理 (IAM) ソリューションによってこの種のイベントが検出されたときに、少なくとも 2 つの認証要素を要求するように設定しておきます。
-
便利さを優先する
効果的なセキュリティを実現するには、従業員とその他の利害関係者からの賛同が必要です。人々が高リスクのオンライン活動に関与するのをセキュリティ ポリシーで防止できることもありますが、ポリシーがあまりにも煩わしい場合は、人々が回避策を見つけるようになります。最高のソリューションとは、現実的な人間の行動に適応できるものです。セルフサービス パスワード リセットのような機能を導入すると、人々がパスワードを忘れてしまったときでもヘルプデスクへの問い合わせを不要にすることができます。このことは、強いパスワード選びの促進にもつながる可能性があります。後で忘れてしまったとしても簡単にリセットできることを人々が知るからです。どの認可方法を使うかを自分で選べるようにしておくことも、サインインを簡単にするための優れた方法です。
-
シングル サインオンの展開
便利さとセキュリティを高める優れた機能の 1 つが シングル サインオン (SSO) です。アプリを切り替えるたびにパスワードを要求されるのは誰にとっても好ましいことではなく、時間を節約するために同じパスワードを複数のアカウントで使うことにつながる可能性があります。シングル サインオンならば、従業員は 1 回サインインするだけで仕事に必要なアプリのほとんど、またはすべてにアクセスできます。これによって摩擦が減るとともに、従業員が使用するソフトウェアのすべてに対して共通の、または条件付きのセキュリティ ポリシー (たとえば多要素認証) を適用できるようになります。
-
侵害があるものと考えて定期的な監査を実施する
多くの組織では、人々の役割と雇用状態が定期的に変化します。従業員が会社を離れることもあれば、部署を異動することもあります。パートナーがプロジェクトに参加し、プロジェクトから離れます。このことは、アクセス ルールが追いついていない場合に問題となる可能性があります。重要なのは、仕事に必要ではなくなったシステムとファイルへのアクセス権を人々が保持していないようにすることです。攻撃者に機密情報を掌握されるリスクを縮小するには、ID ガバナンス ソリューションを使用して、アカウントと役割の監査を定常的に行います。このようなツールは、人々に必要なものへのアクセス権だけをその人に与えることと、組織を離れた人のアカウントを確実に非アクティブにすることにも役立ちます。
-
ID を脅威から保護する
ID およびアクセス管理 ソリューションには、アカウント侵害のリスク縮小に役立つツールが多数ありますが、それでも侵害を予測しておくことは賢明です。十分な教育を受けた従業員でも、フィッシング詐欺にだまされることがあります。アカウント侵害を早期発見するには、ID の脅威に対する保護ソリューションに投資して、疑わしいアクティビティの発見と応答に役立つポリシーを実施します。多くのモダンなソリューション、たとえば Microsoft Copilot for Security では、AI を使用して脅威を検出するだけでなく、それに対する応答が自動的に行われます。
クラウド認証のソリューション
認証は、強力なサイバーセキュリティ プログラムと従業員の生産性発揮の両方にとって不可欠です。包括的なクラウドベースの ID およびアクセス管理のソリューション、たとえば Microsoft Entra のツールを利用すると、人々の仕事に必要なものに簡単に到達できるようにすると同時に、強力なコントロールを適用して攻撃者によるアカウント侵害と機密データへのアクセス獲得のリスクを縮小することができます。
Microsoft Security についてさらに学ぶ
よく寄せられる質問
-
認証の種類はさまざまなものがあります。いくつかの例を次に示します。
- 多くの人々が顔認識または指紋を使ってスマートフォンにサインインしています。
- 銀行などのサービスでは多くの場合、人々がサインインするときにパスワードに加えて SMS で自動送信されるコードの使用が要求されます。
- ユーザー名とパスワードだけを要求するアカウントもありますが、多くの組織はセキュリティ強化のために多要素認証に移行しています。
- 従業員が自分のコンピューターにサインインすると多数のさまざまなアプリに同時にアクセスできることがよくありますが、これをシングル サインオンといいます。
- アカウントの中には、ユーザーに Facebook または Google のアカウントを使用したサインインを許可しているものもあります。これに該当する場合は、Facebook、Google、または Microsoft がユーザー認証の責任を負い、そのユーザーがアクセスを希望するサービスに認可を引き継ぎます。
-
クラウド認証とは、適切なアクセス許可を持つ適切な人とアプリだけがクラウドのネットワークとリソースへのアクセスを獲得できることを確認するサービスです。多くのクラウド アプリにはクラウドベースの認証が組み込まれていますが、Azure Active Directory のようなより広範な機能を持つソリューションもあり、複数のクラウド アプリとサービスにわたって認証を処理するように設計されています。このようなソリューションでは一般的に SAML プロトコルが使用されているため、1 つの認証サービスを複数のアカウントにわたって機能させることができます。
-
認証と認可は同じ意味で使われることもよくありますが、この 2 つは互いに関連があるものの、まったく別のものです。認証とは、サインインするユーザーが自称するとおりの人物であることの確認ですが、認可とはそのユーザーが必要としている情報にアクセスするための適切な許可を持っていることの確認です。認証と認可を共に使用すると、攻撃者による機密データへのアクセス獲得のリスクを縮小することができます。
-
認証を使用する目的は、デジタルのリソースとネットワークへのアクセス権を付与する前に、その人やエンティティが自称するとおりの存在であることを確認することです。第一のゴールはセキュリティですが、先進認証ソリューションは便利さも高めるように設計されています。たとえば、多くの組織は従業員が仕事に必要なものを簡単に見つけられるようにするためにシングル サインオン ソリューションを導入しています。コンシューマー サービスでは人々がサインインするときに自分の Facebook、Google、または Microsoft のアカウントを使用できることも多く、認証プロセスがこれでスピードアップします。
Microsoft Security をフォロー