認証 にんしょう
簡単に言うとこんな感じ!
「あなたは本当に本人ですか?」を確かめる仕組みだよ。マンションの入り口でオートロックに暗証番号を打つのと同じで、「この人は正しい人かどうか」をシステムが判断する関門なんだ!
認証とは
認証(Authentication)とは、システムやサービスにアクセスしようとしている人・機器・プログラムが、「主張している通りの本人かどうか」を確かめるプロセスです。英語では “Authentication” と言い、略して AuthN(オースエヌ) と表記されることもあります。
よく混同される 認可(Authorization / AuthZ) とはまったく別物です。認証は「あなたは誰ですか?」という本人確認、認可は「あなたは何をしていいですか?」という権限の付与を意味します。コンビニで例えると、認証は「年齢確認でIDを見せる」こと、認可は「お酒を買ってよいと判断される」ことです。
情報セキュリティの世界では、認証はアクセス制御の出発点として極めて重要な役割を担います。どれだけ高度なファイアウォールや暗号化を施していても、認証が破られれば全て無意味になってしまいます。近年のサイバー攻撃の多くが、この認証の弱点を突いて侵入してくるため、ビジネスにおいても正しく理解しておくべき基礎知識です。
認証の3要素:「知っている・持っている・なりたてる」
認証に使われる要素は、大きく3種類に分類されます。これを 認証の3要素(3 Factors of Authentication) と呼びます。
| 要素 | 名称 | 代表例 |
|---|---|---|
| 知識情報 | Something You Know | パスワード、暗証番号、秘密の質問 |
| 所持情報 | Something You Have | スマートフォン、ICカード、ワンタイムパスワード(OTP)端末 |
| 生体情報 | Something You Are | 指紋、顔認証、虹彩、静脈パターン |
覚え方:「知って・持って・なりきる」
3要素は 「知って(Know)・持って(Have)・なりきる(Are)」 と覚えると楽です。KHA(ケーエイチエー)と頭文字で覚えてもOKです。
多要素認証(MFA)とは
1つの要素だけでは突破されるリスクがあるため、異なる種類の要素を2つ以上組み合わせる方式を 多要素認証(MFA: Multi-Factor Authentication) と言います。「パスワード(知識)+スマホへのSMSコード(所持)」がその典型例です。2要素のみの場合は特に 2FA(Two-Factor Authentication) とも呼ばれます。
| 方式 | 要素数 | 安全性 | 手間 |
|---|---|---|---|
| 単要素認証 | 1つ | 低め | 少ない |
| 二要素認証(2FA) | 2つ | 高い | やや増える |
| 多要素認証(MFA) | 3つ以上 | 非常に高い | 増える |
歴史と背景
- 1960年代 — MITの時分割システム(CTSS)で、複数ユーザーを識別するために初めてパスワードが導入されたとされる
- 1980年代 — インターネットの普及とともに、UNIX系OSのログイン認証が広まる。パスワードのハッシュ化保存も始まる
- 1990年代 — Webの爆発的普及により、ウェブアプリケーションへのログイン認証が一般化。SSLと組み合わせたHTTPS上での認証が普及
- 2000年代 — フィッシング詐欺やパスワード漏洩が急増。ワンタイムパスワード(OTP)やトークンデバイスが企業向けに普及し始める
- 2010年代 — スマートフォンの普及により、SMS認証・生体認証(Touch ID、Face ID) が一般消費者にも身近になる。OAuth 2.0・OpenID Connect などの標準プロトコルが登場し、SNSアカウントを使ったログイン(ソーシャルログイン)が普及
- 2020年代 — パスワードレス認証(FIDO2 / パスキー)が急速に普及。Googleやアップルが標準対応し、パスワードの廃止に向けた動きが加速
認証方式の比較と関連技術
現在使われている主な認証方式を整理します。
| 方式 | 仕組み | 長所 | 短所 |
|---|---|---|---|
| パスワード認証 | 事前登録した文字列と照合 | 導入が簡単・コスト低 | 漏洩・フィッシングに弱い |
| ワンタイムパスワード(OTP) | 一定時間だけ有効な使い捨てコード | 再利用攻撃に強い | デバイスが必要 |
| 生体認証 | 指紋・顔・虹彩などの身体的特徴 | 本人以外は使いにくい | デバイス依存・変更不可 |
| 証明書認証(PKI) | 電子証明書で本人を証明 | 強固・自動化可能 | 管理が複雑 |
| FIDO2 / パスキー | 公開鍵暗号を使いパスワード不要 | フィッシング耐性が非常に高い | 対応環境が必要 |
| SSO(シングルサインオン) | 1度の認証で複数サービスを利用 | 利便性が高い | SSO自体が単一障害点になりうる |
認証と認可の関係図
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4949 | インターネットセキュリティ用語集。認証(Authentication)の定義を含む |
| RFC 6749 | OAuth 2.0 フレームワーク。認可の標準仕様だが認証連携にも使われる |
| RFC 6238 | TOTP(Time-Based One-Time Password)。スマホ認証アプリの標準仕様 |
| RFC 4226 | HOTP(HMAC-Based One-Time Password)。OTPの基礎となる仕様 |
| RFC 7519 | JWT(JSON Web Token)。Webアプリの認証トークン形式の標準 |
関連用語
- 認可 — 認証の次のステップ。「何をしてよいか」権限を決める仕組み
- 多要素認証(MFA) — 異なる種類の認証要素を2つ以上組み合わせる強化された認証方式
- シングルサインオン(SSO) — 1度の認証で複数のシステムやサービスを使い回せる仕組み
- パスワード — 最も古典的な知識情報ベースの認証手段
- FIDO2 / パスキー — パスワードを使わない次世代の公開鍵暗号ベース認証規格
- OAuth — 認可のための業界標準プロトコル。SNSログインなどに使われる
- OpenID Connect — OAuth 2.0の上に構築された認証のための標準プロトコル
- アクセス制御 — 認証・認可を組み合わせてリソースへのアクセスを管理する仕組み全般