【これは約 5 分の記事です】
このブログは、和装のセキュリティ解説者佐藤英治が書いております。しばしお付き合いのほどをお願いいたします。
一般的に、認証の方式は3つある、と言われています。
- 知識認証(What you know)
- 所有物認証(What you have)
- 生体認証(What you are)
総務省が出しているガイドラインでも、この考え方が踏襲されています。
公的個人認証サービス利用のための 民間事業者向けガイドライン
http://www.soumu.go.jp/main_content/000400619.pdf
ですが、私はこれにもう一つ
- 呼び出し認証(What calls you)
を考えたほうがいいのではないかと考えています。呼び出し認証とは何かというお話の前に、ほかの3つの認証方式についてご説明してまいります。
Contents
認証とは
認証とは、「その対象の人物が本人であることを認めることもしくはそのための手段」
になります。
本人以外の第三者がなりすましをしないよう、認証は確実に本人だけを認めなければいけません。その方法3つをまず説明します。
知識認証(What you know)
本人しか知らないはずの知識を認証の対象者が提示できるかによって認証をする方法です。
この認証方式の代表は「パスワード」でしょう。もしくは、「秘密の質問」もそうです。
残念なことに、秘密の質問によるろくでもない認証方式が横行しているため、本来秘密にしなくてもよい「母方の旧姓」「出身小学校」「自分の誕生日」も秘密にしなければいけない実に嘆かわしい状況になっていますが、それについては別のブログを見ていただければ幸いです。
所有物認証(What you have)
本人しかもっていない所有物を対象者が提示できるかによって認証する方法です。
自宅のカギ
は、まさにこの認証方式で認証をしています。古来からある認証方式です。
生体認証(What you are)
本人の身体的特徴を照合することによって認証する方法です。
指紋認証・静脈認証・ふるまい認証
といったものがあげられ、比較的高度な技術を必要とする認証方式です。
SMSによるワンタイムパスワードや認証アプリはどれに入るのか
最近では、二段階認証で、SMSでワンタイムパスワードを送ったり、銀行振り込みをネットで行うとスマートフォンアプリで承認を促す仕組みがあります。これは上記のどれにあたるでしょうか。
上の3つで考えると
- ワンタイムパスワード・・・パスワードによる知識認証
- 認証アプリ・・・スマートホンによる所有物認証
となりますが、この考え方は、上記2つの認証にとって本質的ではありません。ワンタイムパスワードは張りつけさえ終われば記憶する必要はありません。また、同じ所有物認証でも、サーバを同期をとらなければいけないスマートフォンと物理的鍵では性質が異なります。
そこで、4つ目の認証方式の区分を提示します。
呼び出し認証(What calls you)
本人のみに連絡できる経路での呼び出しに対して返答できるかによって認証する方法。
4つ目の区分として、この区分を入れるべきだと、私は考えています。
例えば、本人の電話番号に電話する、本人だけに聞こえるように声がけする、といった時に反応があるか、といった基準で認証をします。
二要素認証にはWhat calls youを含めたほうが良い
なぜ、呼び出し認証(What calls you)を提唱するかですが、
二要素認証には呼び出し認証を含めたほうがセキュリティ強度が上がる
と考えるからです。
何故呼び出し認証がセキュリティ強度が強いかは、深く考察する必要がありますが、まず、このブログでは、
呼び出し認証(What calls you)
という考え方を提示したいと考えております。
防災SNSアドバイザー。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。ITコーディネータ
東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に防災のお話以外では着物でお話させていただいております。
情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。
メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/