ページの本文へ

Hitachi

日立ソリューションズ 統合認証・アクセス管理ソリューション

ソリューションメニュー

認証強化

ユーザー認証とは

認証強化

業務で使用するPCなどの端末には顧客の個人情報や機密情報がたくさん保存されています。本人以外の第三者による端末の不正利用を防止するため、利用時に本人かどうか確認することを、「ユーザー認証」と言います。
一般的によく使われているのがIDとパスワードによる認証ですが、なりすましのリスクを排除できません。IDとパスワードが外部に漏洩すれば、簡単にログインでき、不正アクセスされてしまうからです。
そのため指紋や指静脈、顔など身体的特徴から本人を判断する「生体認証」や、ログインのたびに新しいパスワードを生成し使用する「ワンタイムパスワード認証」など、さまざまな方式による「認証強化」が求められています。

二要素認証(多要素認証)とは

2つの異なる要素の組み合わせにより、強度を高める認証方式を二要素認証(2ファクタ認証)と言います。
要素は全部で3種類(知識情報・所持情報・生体情報)あります。

知識情報

ID・パスワードや秘密の質問など、ユーザーが知っている情報

所持情報

ICカードや、ユーザーのスマートフォンにSMSやメールで通知されるワンタイムパスワードなど、ユーザーが所持している情報

生体情報

顔や静脈など、ユーザー自身の情報

二要素認証は、上記3種類の要素のうち2つを組み合わせたものをさし、要素を2つ以上組み合わせたものを多要素認証(マルチファクタ認証)と言います。
組み合わせたすべての要素が揃わないと認証が通らないため、なりすましや不正アクセスのリスクを低減し、セキュリティを強化することができます。
例えば、ID・パスワード(知識情報)と、静脈の情報(生体情報)を組み合わせて認証を行うなどが挙げられます。

二段階認証と二要素認証の違い

二段階認証(2ステップ認証)とは、本人確認時の認証を2回に分けて行う認証方式のことです。二要素認証と同様、セキュリティ強化を目的として導入されます。二要素認証では、上記3種類の要素の中から2つの異なる要素を組み合わせて認証を行いますが、二段階認証は異なる要素を組み合わせる必要はありません。
例えば、ID・パスワード(知識情報)と、あらかじめ登録しておいた秘密の質問(知識情報)を組み合わせた場合は、二段階認証になります。

複数の方式を組み合わせる二要素認証(多要素認証)で、ユーザー認証を強化します。

1. 従来の認証方式の課題

  • ID・パスワードのみの認証方式では、不正アクセスや成りすましなどを防ぐことができず、セキュリティに不安
  • 桁数の多い複雑なパスワードを覚える、数か月おきにパスワードを変更する、忘失時の初期化など、パスワードの運用が繁雑

2. 認証強化のメリット

多彩な認証方式に対応したセキュリティ強化が可能
ユーザーやアプリケーション、リスクレベルや目的に応じて、さまざまな認証方式を柔軟に組み合わせた二要素認証(多要素認証)にすることで、セキュリティレベルに応じた認証強化が可能です。
容易な導入
現在の認証方式を置き換えるのではなく、強力な認証を追加する形で導入できます。
利便性の向上
シングルサインオン製品と組み合わせることで社内システムやグループウェアなどと連携し、シームレスに利用可能となります。
認証強化のメリット

3. 認証方式の種類

ユーザー認証方式の例
ID・パスワードによる認証の他にも、生体情報を活用したものや、メール・スマートフォンのアプリを活用したものなど、さまざまな認証方式があります。複数の認証方式を組み合わせる二要素認証(多要素認証)により、なりすましや不正アクセスのリスクを減らすことができます。
生体認証 指静脈認証や指紋認証など、身体的特徴をもとにした確実な本人認証を実現。ユーザーの認証情報(ユーザー名、生体情報など)の集中管理(登録・変更・削除・確認)が可能です。
乱数表認証 ユーザーごとに固有の乱数表カードを発行し、列と行でランダムに指定される文字を入力して認証を行います。カードはプラスチック製や紙で提供されるため、携帯性に優れ、発行コストも抑えられます。
ワンタイムパスワードトークン認証 ワンタイムパスワードトークン(発生器)を提供します。認証と管理は1台のプラットフォームで管理でき、他にサーバーは不要。低価格タイプのトークンで導入コストも抑えられます。
ナレッジベース認証 初回認証時にユーザーに複数の質問を行い、結果をデータベースで保管。次回以降は、ランダムに選ばれた質問を提示して認証を行います。質問数と入力回数は設定が可能です。
ワンタイムパスワードリスト認証 ユーザーは事前に配布されたワンタイムパスワードリストをもとに、画面上でワンタイムパスワードを入力します。使用済みのパスワードは、再度利用は不可。より低コストの紙での配布も可能です。
アウトオブバンド認証 ワンタイムパスワードを、メールやSMS(Short Message Service)、スマートフォンのアプリなどでその都度ユーザーに通知します。決済時の確認用パスワード入力などに使用されています。
機器認証 初回認証時にユーザーPCの固有情報(例:OS、ブラウザー情報、IPアドレスなど)をJavaアプレットで収集、データベースで自動保管。次回以降はデータベースを照合して、同じPCからログインしていることを確認し認証します。
デジタル証明書認証 社内に専用の認証局を構築し、そこから発行したデジタル証明書を利用して認証を行います。発行したデジタル証明書は認証の強化だけでなく、メールの暗号化や署名などにも利用できます。
ICカード認証 ICカードを利用した本人認証です。社員証や入館証などの既存で使用しているカードを利用することも可能です。
その他 ・モバイル認証
・イメージングマトリクス認証
構成プロダクト
ユーザー認証方式
相互認証方式の例
利用者とWebサイト間の相互認証をサポートし、フィッシング詐欺などからユーザーを保護。
アクセスするWebサイトの真正性を確認するため、Webサイトから認証機能を提供します。
利用者はフィッシングサイトではなく、正規のサイトであることを確認したうえで安心してサービスが利用可能となります。
イメージ相互認証 初回認証時、ユーザーは自分の好きなイメージを選択し、情報はデータベースに保管されます。次回以降に、選択したイメージが正しく表示されているか確かめることで、不正Webサイトの判別をサポートします。
メッセージ相互認証 初回認証時、自分の好きなメッセージを入力し、データベースに保管。次回以降は認証時にユーザーが入力したメッセージを表示。誤ったメッセージや、メッセージが表示されない場合は、不正Webサイトの可能性があります。
乱数表相互認証―シリアル番号 ログイン時に乱数表のシリアル番号や乱数表上の特定の数字を表示することで、Webサイトの真正性の判断をより確実にします。シリアル番号と乱数表上の数字、両方を使用することも可能です。
リモートアクセスでの認証強化
ArrayAGなど、RADIUSプロトコルに対応したSSL-VPNゲートウェイ機器との認証で、乱数表やワンタイムパスワードトークンを使用してリモートアクセスでの認証を強化します。