認証
定義
認証とは「通信相手が本当に名乗っている人物・システムであることを確認するプロセス」で、「何ができるか」を判定する認可(Authorization)とは別の概念です。認証の3要素は「知識要素(パスワード・PINなど知っているもの)」「所持要素(スマートフォン・ハードウェアキーなど持っているもの)」「生体要素(指紋・顔・声紋など自分自身の特徴)」に分類されます。2つ以上の要素を組み合わせる多要素認証(MFA)は、単一要素に比べてアカウント乗っ取りリスクを大幅に下げます(Microsoftの調査では約99.9%の侵害を防止するとされています)。認証に成功した後、「そのユーザーがどのリソースに何をできるか」を判定するのが認可(Authorization)です。混同しがちな2つの概念ですが、設計の段階から明確に分けておくことがセキュリティの基本です。最新の認証技術であるパスキー(FIDO2)はパスワードを使わずにフィッシング耐性の高い認証を実現しています。
関連用語
同じカテゴリの用語(基礎概念)
情報セキュリティの3つの基本要素。機密性(Confidentiality)・完全性(Integrity)・可用性(Ava…
データを第三者が読めない形式(暗号文)に変換する処理。対称暗号(AES)と非対称暗号(RSA)がある。転送中データ(TL…
正当なユーザーが必要なときに情報やシステムにアクセスできる性質。冗長化・バックアップ・DDoS対策などで実現する。CIA…
情報が正確かつ改ざんされていない状態を保つ性質。ハッシュ関数・デジタル署名・チェックサムなどで実現する。CIA三原則のI…
許可された者だけが情報にアクセスできる性質。暗号化・アクセス制御・認証などの手段で実現する。CIA三原則のC。…
システムや情報に損害を与える可能性のある事象・行為・主体。自然災害・内部不正・外部攻撃者・マルウェアなどが含まれる。リス…