text

現場でも役立つ知識が

身に付く

合格に必要な

全知識をわかりやすく解説

実務に役立つ

情報セキュリティ

の基礎

ecurity

SY0-401対応

テキスト

認証 認証

3

認証

3-1-1

　 認証とは

3-1-2

　認証の種類

3-1-3

　パスワード認証

3-1-4

　バイオメトリクス認証

3-1-5

　認証デバイス

3-1

3-1

88

パスワード認証とは

1

パスワード認証とは、ユーザーと認証サーバーの間で行われる本人認証です。アクセスするユー ザーがアクセス権限を持つ本人であることを確認するための本人識別情報としてパスワードを使 います。パスワード認証では、ユーザーIDとパスワードの組み合わせで、ユーザーがアクセス権限 を持つ本人であることを確認します。

●

パスワードの構成

パスワードとは、「本人識別のために用いる、本人しか知り得ない秘密情報」で、文字、記号、数字 などの符号で構成します。数字だけで構成されたパスワードを暗証番号、あるいはPIN（ピン：

Personal Identification Number）といいます。

基本認証とダイジェスト認証

2

パスワード認証は、パスワードを認証サーバーに知らせる方法によって、基本認証（ベーシック認証） とダイジェスト認証に分けられます。

●

基本認証

基本認証は、ベーシック認証ともいわれ、IDとパスワードを認証サーバーに知らせて認証する方法 です。パスワードが漏えいした場合、第三者のなりすましが可能になります。第三者が、真正なユー ザーになりすまして、真正なユーザーIDと漏えいしたパスワードをサーバーに知らせると、認証サー バーは第三者を本人と認識してしまいます。その結果、第三者は、真正なユーザーになりすまして システムにログインできることになります。

3-1-3

パスワード認証

パスワード認証は、ユーザー認証でよく使われている認証方法です。パスワードが漏 えいしないために、どのような工夫がされているか理解しましょう。

学習ポイント

認証 認証

3

3-1

●

ダイジェスト認証

ダイジェスト認証は、疑似乱数とパスワードを組み合わせた文字列のダイジェスト（ハッシュ値）を 用いて本人認証を行います。 パスワードを暗号化した場合でも、ネットワーク上で暗号パスワードが盗聴され、リプレイ攻撃※_され る可能性はありますが、ダイジェスト認証では、認証のたびに疑似乱数が変化するため、ダイジェス トも認証ごとに異なります。そのため、なりすましのリスクを軽減できます。

■ソルト

パスワードを簡単に解析できないようにするために使う付加情報（シード）のことをソルト（salt）と いいます。ソルトには、疑似乱数を使うことが一般的です。同じパスワードでもソルトが異なれば、 異なる本人識別情報が生成されます。

パスワード認証の安全性向上技術

3

ネットワークを流れるパスワードの持つ脆弱性を解消し、パスワード認証の安全性を向上させる技 術として、ソルトやチャレンジレスポンス方式、ワンタイムパスワードがあります。

●

チャレンジレスポンス方式

チャレンジレスポンス方式は、次のような方法で認証します。 ユーザーIDと パスワード入力 ユーザー _{認証サーバー} レスポンス （クライアントの）_{レスポンス} 乱数を作成し、 チャレンジとする ユーザーIDと パスワードを 登録しておく （サーバーの） レスポンス 入力されたパスワードのハッシュと、 受け取ったチャレンジから さらにハッシュを作成 登録されているパスワードの ハッシュとチャレンジから さらにハッシュを作成 ①認証の要求 ②チャレンジの送信 ④ユーザーIDと 　レスポンスの送信 ⑤ ⑥ ③

90 ②　認証サーバーは、乱数によってチャレンジコードと呼ばれる擬似乱数を生成し、ユーザー へ送信する。 ③　ユーザーは、パスワードとチャレンジコードをハッシュ関数を用いてハッシュ値にし、レスポ ンスを作成する。 ④　ユーザーはレスポンスを認証サーバーへ送信する。 ⑤　認証サーバーは、サーバーに登録されているユーザーIDのパスワードと②で送信したチャ レンジコードをハッシュ関数でハッシュ値にし、レスポンスを作成する。 ⑥　④と⑤のレスポンスを比較する。 ⑦　④と⑤を比較し合致していれば、正当なユーザーとして認証する。

●

ワンタイムパスワード

ワンタイムパスワードは、その場限りでしか使用できないパスワードを生成する方式です。 ワンタイムパスワードのしくみは、認証サーバーとユーザーの両方にパスワードを生成するしくみを 用意し、時刻などを基にして生成したパスワードを照合するような方法がとられています。このた め、使われているしくみに合ったトークンがユーザーに対して提供されます。最初に、各トークンに ある情報を認証サーバーに登録し、ユーザーIDとひもづけておきます。ワンタイムパスワードを生 成するしくみには次のようなものがあります。

■

TOTP

TOTP（ティーオーティーピー：Time-Based One-Time Password）は、パスワード発行時刻がベー スとなっているワンタイムパスワード発行方式です。 ワンタイムパスワードの生成が時刻を基にするため、ユーザーのトークン内部の時刻と、認証サー バーの時刻が正確である必要があります。そのため、NTPを利用して、ユーザー側のパスワード生 成機と認証サーバー側で、それぞれ正しい時刻を設定する必要があります。 実際はトークン内部の時刻とサーバーの時刻の差異が発生する可能性があるので、送られたワン タイムパスワードが認証サーバーで算出された遅延時間範囲内のワンタイムパスワードと合致す れば認証され、認証サーバーで自動補正します。

■

HOTP

HOTP（エイチオーティーピー：HMAC-Based One-Time Password）は、トークンでボタンを押し た回数（押下回数）によってワンタイムパスワード発行される方式です。HOTPでは、ユーザーがトー クンのボタンを押す度に、押下回数が更新され、押下回数を基に新しいワンタイムパスワードが生 成されます。この押下回数と同じ値が認証サーバー側でも必要となります。そのため、ワンタイム パスワードを生成したにもかかわらずそれを使って認証処理を行わなかった場合には、ユーザー側 で持つ押下回数とサーバー側で持つ認証処理回数の値がずれてしまいます。 実際は認証サーバーにおいて、送られたワンタイムパスワードとサーバーで算出された範囲内のワ ンタイムパスワードが合致すれば認証し、押下回数を補正します。

認証 認証

3

3-1

バイオメトリクス認証

1

バイオメトリクス認証（生体認証）とは、個人が持つ生体的な特徴を認証情報として本人確認を行 う認証方式です。現在では指紋、音声、虹彩、網膜、手の大きさ、顔などを利用することができます。 そのほか、文字を書くときのペンの速度や筆圧、さらにはDNAまで利用することができるように なっています。 また、バイオメトリクスは虹彩や網膜、指紋といった経年変化が少ない部位を利用することで、継 続的に信頼できる認証情報として利用することができます。 網膜、虹彩 顔 指紋 署名 音声 体の一部などを使って本人確認を行う認証方式 ・・・ バイオメトリクス認証

バイオメトリクス認証の種類

2

バイオメトリクス認証には次のような方法があります。 認証方式 偽造への耐性 利用コスト 主要な用途

3-1-4

バイオメトリクス認証

バイオメトリクス認証は、本人の識別できる生体の一部を本人認証の認証情報に利用 する方法です。これは認証情報の紛失や盗難の心配がなく、利便性に優れています。

学習ポイント

92

バイオメトリクス認証の注意点

3

バイオメトリクス認証は、身体的特徴を光学技術やセンサー技術を用いて電気信号に変換し、その 情報を事前に登録しておいた認証データと照合して、本人認証を行います。バイオメトリクス認証 を利用する場合には、次の点に注意します。 ● 要求されるセキュリティレベルに応じたバイオメトリクス認証方式を採用する ● 本人拒否率と他人受入率のバランスを考慮する ● 登録した認証データ（生体情報）を厳重に管理し、漏えい防止策を講じる 本人拒否率とは、本人の生体情報を照会した際に拒否される率で、他人受入率とは、他人の生体 情報を照会した際に本人と誤認される率になります。

確認問題

認証 認証

3

次の に当てはまる言葉を答えてください。

1

1. ① とは、コンピューターに対してユーザー自身がだれなのかを伝える方法をいいます。

1

2. ② とは、特定のユーザーが本人で間違いないかを検証することをいいます。

1

3. ③ とは、リソースや情報へアクセスするための権限を表すものです。

1

4. ユーザーが正当であることを確認する本人認証を ④ といいます。

1

5. ⑤ は、ベーシック認証ともいわれ、IDとパスワードを認証サーバーに知らせて認証する方 法です。

1

6. ⑥ は、その場限りでしか使用できないパスワードを生成する方式です。

1

7. ⑦ （生体認証）とは、個人が持つ生体的な特徴を認証情報として本人確認を行う認証方 式です。

1

8. ⑧ はスマートカードとも呼ばれ、小規模プログラムを実行するCPUやメモリを内蔵してい るので、さまざまな業務の認証に利用されています。中でも ⑨ は米国国防総省が発行す るICカードです。

3-1

認証

3-1

113

章末問題

ア ク セ ス 制御 認証

3

3-3

Kerberosでは、クライアントとサーバーで時間がずれていた場合、認証することができませ ん。そのため、認証前に時刻同期を行っておく必要があります。

CHAP（Challenge Handshake Authentication Protocol）は、チャレンジレスポンス方式 を利用して認証を行うものです。

RADIUS（Remote Authentication Dial-in User Service）は、リモートアクセスにおける一 元的な認証ができるしくみです。

PIV（Personal Identity Verification）は、米国の政府職員の身分証明書のICカードのこと です。

A

ⓐ

フェデレーションは、SSOなどの認証情報が自動的に送られるため、あらためてIDやパス ワードを入力しなくても済みます。 バイオメトリクスとは、個人が持つ生態的な特徴を認証情報として本人確認を行うもので す。TOTP（Time-Based One-Time Password）は、パスワード発行時刻がベースとなって いるワンタイムパスワード発行方式です。 トークンは、コンピューターやネットワークに権限を提示または付与するための情報を含む 少量の制御データ、または、それを生成する実体のことです。

A

d

クライアントとサーバーで、時間がずれていると認証できないのはどれですか。 a. Kerberos b. CHAP c. RADIUS d. PIV

Q

2

認証情報が自動的に複数のシステムへ送られ、あらためてIDやパスワードを入力しなくて も済む方法はどれですか。 a. TOTP b. バイオメトリクス c. トークン d. フェデレーション

Q

1