サイバーセキュリティインシデントのニュースはいまだに後を絶ちません。SolarWinds、Colonial Pipeline、Microsoft Exchange Serverで最近発生したデータ漏洩事件から、システムが侵害やランサムウェア攻撃に対し、いかに脆弱であるかがわかります。
世界中の国々がセキュリティ対策の強化に力を入れています。2021年当初、ジョー・バイデン米大統領は、米国のサイバーセキュリティを改善するため大統領行政命令(EO)に署名しました。また、この前身である2015年サイバーセキュリティ法では、公共部門と民間部門の団体にサイバー脅威情報を共有することを奨励するとされていましたが、新しいEOでは要件に変更されています。
この事態と、「セキュリティのセキュリティ」に関して当社で連載中のブログシリーズを念頭に、認証とは何か、その仕組みをより詳しく説明するべきだと考えました。
認証とは
一般的に、認証とは、保護リソースへのアクセス権を付与する前に、エンティティのユーザー、サーバー、またクライアントアプリのIDを検証するプロセスのことです。
クライアント側の認証ではユーザー名とパスワードの組み合わせ、トークンなどの手法を使用しますが、サーバー側の認証では証明書を使用して信頼できる第三者を識別します。その名称からわかるように、CNAPで提案される2要素認証では、2つの形式の認証を組み合わせて使用します。
ユーザー名とパスワードの仕組みはよく知られていますが、トークンと証明書にはあまり馴染みがないかもしれません。
トークンと証明書
トークン
トークンは、有効な署名付き情報を表示することで達成できる要求ベース認証の形式です。これは、飛行機の搭乗時に使用する搭乗券と同じように機能します。つまり、搭乗ゲートに歩いていきパスポートを見せればよい、というわけではありません。その代わりに、写真付きのIDと航空券を基に認証し、搭乗券を発行します。搭乗券は、航空会社が顧客に付与する確認済みの権利となります。
証明書
電子証明書は、秘密鍵の所有権を証明し、その所有者とその所有者との通信を希望するエンティティとの間に信頼を確立するために使用する電子文書です。秘密鍵と所有者に関する情報の他、電子証明書には、コンテンツの信憑性を証明する署名者の電子署名が含まれます。最終的に適切なエンティティ/所有者と通信できることを確認します。
証明書の最も一般的な用途に、HTTPSベースのWebサイトがあります。この場合、ウェブブラウザはウェブサーバーが本物であることを検証し、ウェブサイトが正規のものであり、ユーザーとウェブサイト間の通信が安全であることを確認します。
認証がセキュリティインフラの重要な要素である理由
物理的なセキュリティシステムという点で、認証は正当なユーザーがリソースにアクセスしていることを確認する重要なツールです。不正アクセスを防ぎ、他の誰かではなく、セキュリティ担当者その人がログイン時にシステムにアクセスしていることを確認します。ハッカーがセキュリティサーバーになりすまして、貴重な機密データを管理、操作、複製できないようにします。
これらのIDの認証が完了した後、セキュリティシステムのセキュリティを維持するための次のステップは、セキュリティシステムにアクセスするユーザーと、セキュリティシステムのどの部分にアクセスできるかを管理することです。
権利付与のメカニズムの詳細については、このブログ記事をご覧ください。