ページの先頭です
本文へジャンプする
ビジネスに役立つ「次の一手」をあなたに
Wisdomブログ
ビジネス用語辞典

ここからサイト内共通メニューです

ここから本文です
サイト内の現在位置を表示しています

情報セキュリティ基礎講座 入門編

− 第4回 −

内外からの不正侵入のメカニズムとその防止策 その2 認証技術
ユーザーID、パスワードの認証を強化し、不正侵入を防止する認証技術

1/5ページ         1  2  3  4  5     次のページへ >>

PDFで印刷

 社内システムへの不正侵入を防御するためには、ファイアウォールや不正侵入検知/防御システムなどの導入とともに、ユーザー認証がポイントになります。情報漏えいの原因となる不正アクセスの多くは内部で行われているとの指摘もあり、社外のみならず、社内のシステム利用時にユーザーの正当性を確認する必要があります。ユーザーID、パスワードを基本に認証を行うのは当然ですが、パスワードが盗まれたり、本人になりすまして不正侵入されるリスクも皆無ではありません。そこで、今回の「内外からの不正侵入のメカニズムとその防止策 その2」では、ユーザー認証を強化するワンタイムパスワードや生体認証、PKI (公開鍵基盤)、LANスイッチを用いたネットワーク認証技術などの動向を紹介します。



内外からの不正侵入を招きかねない安易なユーザーIDとパスワード管理

 社内システムへのリモートアクセスや、顧客・取引先との電子商取引などネットワークの利用が不可欠になる一方、企業は常に不正侵入のリスクにさらされているといっても過言ではありません。ネットワークの世界では相手の顔が見えないだけに、システム利用時(ログイン時)に本当に許可された本人なのか、ユーザーの正当性を確認したり、システムに対するアクセス権限の有無を確認する必要があります。

 システム利用時に本人であるかどうかを確認する認証方法として一般的なのが、ユーザーIDとパスワードです。この仕組みは比較的単純で、ユーザー(クライアント)がログイン時にID、パスワードをPCやシステム側に送り、あらかじめ決められたパスワードに合致すればアクセスを許可します。この方法は、パスワードを知っているのは本人のみ、という前提に立っており、ID、パスワードが悪意のある人間に盗まれれば、容易に不正アクセスされる恐れがあります。

 企業のセキュリティ意識の高まりとともに、最近は聞かれなくなりましたが、かつてはユーザー管理が煩雑になるとの理由から、システム管理者が部門内の各ユーザーに共用のパスワードを発行するケースも見受けられました。また、不用心とはわかっていても、パスワードを書いたメモをPCやデスクに張ってしまうというケースもあります。社外の人間がそのメモを盗み見る、あるいは社内の人間が盗み見て、本人になりすまして情報を不正入手する危険性があります。

 このほか、誕生日や電話番号の一部など推測されやすいパスワードを設定したり、長期間同じパスワードを使用しパスワードを変更しないなど、固定パスワードにかかわるさまざまな問題点が指摘されています。社内の情報漏えいの主因として内部の犯行を指摘する専門家は多く、安易なパスワード管理から不正侵入されるケースも少なくありません。



RADIUS認証などに利用されるチャレンジ・レスポンス認証

 社内のシステム利用のみならず、社外からのリモートアクセスについてもIDとパスワードだけのユーザー認証では危険が大きいといえます。インターネット上でID、パスワードを送る際に、情報を読み取られ盗まれるリスクもあります。そこで、リモートアクセス時にID、パスワードを暗号化することや、RADIUS(Remote Authentication Dial-in User Service)認証サーバを利用してユーザー認証を強化することも一般的になっています。

  RADIUS認証サーバはユーザー情報を管理し、アクセスサーバから送信されたユーザーIDをチェック後、チャレンジ・レスポンス形式でアクセスサーバと通信し、パスワード認証します。認証後、ユーザーに割り当てるIPアドレスなどをアクセスサーバに伝えるといった役割があります。

  RADIUS認証などで利用される認証方式のひとつに、パスワードを暗号化してやり取りするチャレンジ・レスポンス認証があります。

  チャレンジ・レスポンス認証は、ユーザーがアクセスする際にシステム側が適当な数字を返し(チャレンジ)、ユーザー側はそのチャレンジとパスワードを用いて演算を行ない、その結果とIDをシステム側に送ります(レスポンス)。システム側では送られてきたレスポンスと演算結果が一致すれば、ユーザー側が同じパスワードを持っていることがわかる仕組みです。ネットワーク上ではチャレンジとレスポンスのみがやり取りされ、しかもチャレンジする数字は毎回変わるため、第三者がパスワードを推測することは困難になります。

  チャレンジ・レスポンス認証では、ハッシュ関数と呼ばれる演算方法を用い、入力したデータ(文字列)を元に擬似乱数を出力。その演算結果からは元の入力データを再現することができないため、一方向関数とも呼ばれます。

  チャレンジ・レスポンス認証の場合、チャレンジ、レスポンスがネットワーク上を流れるため、元のパスワードが解読されてしまう可能性は必ずしもゼロではないと指摘する専門家もいます。また、技術的な問題ではないものの、パスワードのメモをデスクに張って第三者に盗み見られたり、第三者に漏らして不正侵入される可能性もまったくないとは言い切れません。


1/5ページ         1  2  3  4  5     次のページへ >>

PDFで印刷

ID・パスワードをお忘れの方


記事のご意見を聞かせてください。

この記事はいかがでしたか?


ご意見・ご感想などをお気軽にお寄せください。

注意個人情報保護』、投稿に関する『要綱』に同意の上、送信ください。
注意お返事は差し上げておりません。
注意ご提供いただいた情報は、弊社における個人情報保護に準じた取り扱いをいたします。

このページで入力された内容は、暗号により保護された通信(SSL)でサーバに送られます。

ここまで本文です
このページの先頭に戻る

ページの終わりです