【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第14回ユーザー認証

（2005年11月21日）

　ネットワークに接続されたコンピュータを利用するユーザーは、さまざまな脅威にさらされている状態にある。そのため、ユーザーの正当性を証明するユーザー認証技術を用いることで、なりすましによる不正アクセスなどの脅威からユーザーやシステムを守ることは、企業・組織のIT部門にとって最重要の責務となる。今回は、ネットワークにおける認証の概念を明確にした後、ユーザー認証方式の種類、認証基盤の構築例、関連技術について解説する。

福原英之
ネットワンシステムズ

認証の意味と意義を正しく把握する

　ユーザー認証とは、個人を特定し、その個人に間違いないことを保証する、いわば「本人確認」の行為である。認証によって個人を特定することが可能になり、その結果、認証を受けた個人に対して権限を与えることができるようになる。

　日本語で「認証」と言うと、本人確認の行為とその個人の持つ権限を付与する行為とを混同しがちだが、英語では、本人確認は「Authentication」、権限の付与は「Authorization」といった具合に使う言葉が明確に分かれている。しかし、日本語では、AuthenticationとAuthorizationをうまく言い表す言葉が見当たらない。そのため、この分野の文献は英文で読む場合も、日本語訳で読む場合も、往々にして理解しづらい。

　ちなみに、セキュリティに必要な要件を、上記の2つのAにアクセス・コントロールを加えて、「AAA」と表す場合がある。実際、シスコシステムズのネットワーク機器向け制御OS、IOSにも、「aaa」という認証関連のコマンドが存在する。

　なお、情報セキュリティ対策の基本は、情報へアクセスできる範囲を制限すること（アクセス・コントロール）と、そのアクセス記録を保存すること（ロギング）だが、これらの対策を実施する際には、認証がきちんと行われていることが前提となる。厳格な認証が確立されていないかぎり、アクセス・コントロールもロギングも信頼性に欠けてしまう。よって、認証は情報セキュリティの対策として、最も基本的かつ重要なものであると言っても過言ではないのだ。

「認証＝個人を特定する行為」である理由

　冒頭で、認証を定義するにあたって、筆者は意図的に「個人」「本人」という言葉を用いた。認証を実施する場合、その対象が個人でないことも現実にはありうるが、この技術を用いる目的を考えると、認証は個人を特定する行為でなければならない。

　コンピュータ上で情報を取り扱う際にセキュリティの観点から求められる機能は、上述したように、認証、アクセス・コントロール、ロギングである。ただし、複数の個人がユーザーIDを共有し、個人を特定できない認証を使用した場合は、個人のロギングを行うことが困難となり、内部犯罪を誘発することにもなりかねない。

　また、実質的には個人の特定に相当するが、個人ではなく、役職に対してIDを発行するようなケースも見受けられる。この場合、個人に対して認証を行わない理由として、「役職自体にアクセス権があり、役職に就く個人は変更しうるので、個人IDによる認証は採用できない」と主張する向きもある。だが、こうした主張はまさに、AuthenticationとAuthorizationを混同した結果と言えよう。個人に対して本人確認を実施した後、その個人の持つ権限を動的に付与するような認証システムを設計し、個人の持つ権限を変更・管理するようにすれば、役職に対する権限を付与／変更する際にも、個人認証による不具合は発生しないはずである。

　したがって、認証システムを採用する際には、役職やグループなどではなく、個人認証を前提としたシステムを設計するよう心がけていただきたい。

｜1｜2｜3｜4｜5｜6｜ > 次のページへ