ももの知恵の樹

認証とは

認証(anthentication)について

認証とは

認証とは、識別情報に基づいて対象の正当性を確認することです。

例えば、コンピュータを利用するためのユーザ名とパスワードを使った本人確認することや、データが改ざんされずに正しい送信者から受け取ったものであることを確認することが挙げられます。

認証を行うことは、「完全性/正真性(integrity)」を確保することとなります。


認証行為

認証行為は認証対象よって分類されます。

  • 認証対象が人間である場合には相手認証(本人認証)といいます。
  • メッセージ(データ)である場合にはメッセージ認証といいます。
    • メッセージ認証は送信したメッセージが改ざんされていないかどうかを証明します。
  • 時刻の場合には時刻認証といいます。
    • 時刻認証は電子データがタイムスタンプを付与した時点で存在し、それ以降に電子データが改ざんされていないことを保証します。

改ざんとなりすましについて

データに対する改ざんを検出することはハッシュ関数を利用することで完全性を証明できますが、そもそもデータが正規の通信相手から送付されたものであることを確認する必要があります。

なりすましによる不正閲覧に対抗するための認証方法として、ディジタル署名やメッセージ認証コードといった方法を用いる必要があります。


認証の方法

論理的な証明方法

正規利用者しか知り得ない情報を保持していることを示すことで認証する方法です。

  • パスワード認証

物理的な証明方法

正規利用者のみが保持している身分証明を示すことで認証する方法です。

  • ICカード
  • 社員証/入館証

認証の補助ツール

認証システムは利用者に手間と負担を強いることになります。

グループウェアや複数のサーバアプリケーションを使用する場合には、それぞれでログイン認証を行う必要がありますが、そのような状況ではユーザは複数IDとパスワードを管理しなければなりません。

ユーザが複数の認証情報を管理することは、利便性を阻害するだけでなく、認証情報の管理不測などセキュリティレベルの低下を招きます。

大規模システムを構築する場合には、認証を効率的に行うためのツールを導入するべきだといえます。


ディレクトリサービス

ディレクトリサービスとは、ユーザ情報、パスワード、ファイルやネットワーク資源を一元管理するシステムです。

サーバやアプリケーション毎に個別管理されている情報を統合的に管理し、検索・利用することができます。

ディレクトリサービスは他にも以下のような機能を利用することができます。

  • データやプログラムの場所を記憶しておき、名前からそれを呼び出せるようにする機能。データがどのサーバに保管されているかを考えずに利用することができるようになります。
  • データを他サーバに移動させた時には、自動的に検出して各種記録を変更する機能

ディレクトリサービスを提供するサーバを「ディレクトリサーバ」もしくは「LDAPサーバ」と呼びます。

LDAP(Lightweight Directory Access Protocol:エルダップ)は、ディレクトリ・サービスに接続するために使用されるプロトコルです。

(ITU勧告のX.500ディレクトリアクセスプロトコル(Directory Access Protocol : DAP)を簡略化したものです。DAPは複雑であり処理が重たく、TCP/IPでは使用されにくいという欠点があったことから改善されたものです。)


シングルサインオン(Single Sign-On:SSO)

シングルサインオンとは、一度の認証処理によって複数のコンピュータ上のリソースが利用可能になる認証機能です。

実際には、操作サーバが変わるたびにバックグラウンドでユーザ認証処理が行われていますが、ユーザに認証プロセスを意識させないようにしています。

グループウェアなどを使用する場合には、シングルサインオンを導入することで、ユーザーは一つのIDとパスワードによって全ての機能を使用することができるようになり、一元的なセキュリティの確保ができます。


シングルサインオンは仕組みにより以下のように分類されています。

エージェント型SSO クライアントの代わりに「エージェント(プラグインソフトウェア)」が認証サーバにアクセスして認証を行う方式です。認証が必要なサーバに予め「エージェント」をインストールしておき、認証処理ではクライアントに代わってエージェントが「認証サーバ」にアクセスして認証プロセスを代行します。エージェントは認証済み識別情報を「クッキー」に入れてクライアントに返します。
リバースプロキシ型SSO 全サーバへのアクセスを、認証サーバを兼用したプロキシサーバ(リバースプロキシサーバ)に集約して、ユーザ認証を行う方式です。複数ドメインにまたがることができない問題があります。
SAML(Security Assertion Markup Language)型SSO SAMLとは、標準化団体OASISによって策定された、認証情報を表現するためのXML仕様です。認証情報の交換方法はSAMLプロトコルとしてまとめられており、メッセージの送受信にはHTTPもしくはSOAPが使われます。SAMLはユーザの認証や属性、認可に関する情報を記述するマークアップ言語で、WebサイトやWebサービスの間でこれらの情報を交換することでシングルサインオンを実現できます。SAML型SSOでは、「認証アサーション」、「属性アサーション」及び「認可決定アサーション」を扱います。SAMLによる広域SSOシステム「Global SSO:GSSO」では「アーティファクト」という情報を扱います。

関連ページ