【本日の学び】情報セキュリティ概論-第2回:パスワード・認証の授業を終えて
今回は放送大学「情報セキュリティ概論 – 第2回」です。
今回の講義は、東邦大学の金岡准教授によるものです。
テーマは、情報セキュリティの基礎であるパスワードと認証について。
ネット上で安全にサービスを利用するために、理解しておきたい重要なポイントを押さえていますので、ぜひ最後まで読んでみてください。
パスワードと認証の基礎
インターネット上でサービスを利用する際、多くの方がIDとパスワードを使ってログインすることに慣れているでしょう。
これが「認証」と呼ばれるプロセスで、簡単に言えば「自分が誰であるかを証明する」ことです。
認証の方法は、本人確認の手段によって次の3つに分類されます。
- 記憶による認証 (Something you know)
パスワードやPINコードなど、本人が知っている情報を使う方法です。 - 所持による認証 (Something you have)
ICカードやスマートフォンなど、本人が持っているものを使う方法です。 - 本人の特徴による認証 (Something you are)
指紋や顔認証など、身体的な特徴を使う方法です。
リモート認証とローカル認証
認証には大きく分けてリモート認証とローカル認証の2種類があります。
- リモート認証
例:ウェブサイトにアクセスしてログインする際の認証。
この場合、通信の途中でパスワードが盗まれるリスクがあります。
リスクを軽減するために、TLSなどの通信暗号化技術が使用されます。 - ローカル認証
例:スマートフォンのロック解除の際の認証。
この場合も、のぞき見や端末の紛失といったリスクがあるため、端末自体の暗号化が重要です。
特に生体認証は、ローカル認証で使用されることが多いです。
認証の強度とリスク
すべてのサービスで同じレベルの認証が必要なわけではありません。
例えば、銀行口座のログインとオンラインゲームのログインでは、求められる安全性のレベルが異なります。
リスクが高いサービスでは、多要素認証 (MFA: Multi-Factor Authentication) を導入することが一般的です。
多要素認証は、次のように複数の認証要素を組み合わせて、安全性を高めます。
- パスワード(記憶)
- スマートフォンに送られる確認コード(所持)
- 指紋認証(本人の特徴)
パスワードの生成と管理のコツ
多くの人が「123456」や「password」のような推測しやすいパスワードを使ってしまうのは、覚えやすさを優先するからです。
しかし、こうしたパスワードは簡単に破られてしまいます。
そこで、次のポイントを押さえたパスワード設定が重要です。
- 長いパスワードやパスフレーズを使用する
例:意味のある文章を覚え、それをパスワード化する方法。 - 同じパスワードを複数のサービスで使い回さない
1つのサービスでパスワードが漏れると、他のサービスでも不正アクセスされるリスクがあります。 - パスワード管理ツールを活用する
複数の強力なパスワードを安全に管理できます。
ただし、ツール自体のセキュリティにも気を配る必要があります。
サーバー側の対策
サービス提供者側でも、パスワードの安全性を高めるために次のような対策が取られています。
- ハッシュ化
パスワードをそのまま保存するのではなく、暗号化して保存します。
ハッシュ化されたパスワードは、万が一漏洩しても直接的な悪用を防ぐことができます。 - ソルトとストレッチング
ハッシュ化をより安全にするため、パスワードにランダムなデータを加えたり、繰り返し計算することで安全性を高めます。
パスワード攻撃の種類
パスワードに対する攻撃にはいくつかの種類があります。
- オンライン攻撃
実際のサービスにパスワードを入力し、ログインを試みる手法です。 - オフライン攻撃
盗み出したパスワード情報を攻撃者の環境で解析する方法です。 - ソーシャルエンジニアリング
ユーザーをだましてパスワードを入手する方法です。 - リスト型攻撃
過去に漏洩したパスワードリストを使い、他のサービスへのログインを試みる攻撃です。
認可について
最後に、認可という概念についても触れておきます。
認証でユーザーの本人性を確認した後、そのユーザーがどのリソースにアクセスできるかを制御するのが認可です。
シングルサインオン (SSO) も認可の応用例の一つです。
まとめ
今回の解説では、パスワードと認証について、基本からリスクと対策、攻撃方法、認可まで幅広くカバーしました。
パスワードは私たちの日常に欠かせないものですが、それと同時に適切な管理が求められる重要な要素です。
ユーザー側とサービス提供側の双方が協力して、より安全な認証を実現していくことが求められます。
引き続き、情報セキュリティについて理解を深め、安全なインターネットライフを送りましょう!
投稿者プロフィール
- 代表社員
-
こんにちは。トータル山本と申します。
田舎暮らしのフリーランスクリエイターです。
情報デザインをビジネスに活用することを実践し、お伝えするのが仕事です。
のんびりと自然に囲まれながら、日々クリエイティブな仕事を楽しんでいます。
起業してから早25年以上!その間、なんとかデジタルの波に乗り、ITに閉鎖的な地方でやってきました。
私のモットーは「自由な時間」。
建設業界にいた30年ほど前は、朝6時に家を出て、夜12時に帰宅。
そして資格試験の勉強を深夜2時まで行い、土日も出勤していました。
残業手当は微々たるもの。
そんな、ザ・昭和のブラック労働を20代前半に経験した私にとって、「自由な時間」の獲得が最大の目的です。
そのために、仕事にも健康にも真剣に向き合っています!
最新の投稿
セキュリティー2024年11月23日【本日の学び】情報セキュリティ概論-第4回:マルウェアの授業を終えて- セキュリティー2024年11月21日【本日の学び】情報セキュリティの基盤技術「暗号」の授業を終えて
- セキュリティー2024年11月20日【本日の学び】情報セキュリティ概論-第2回:パスワード・認証の授業を終えて
- ライブ配信実績2024年11月9日【ライブ配信サポート】日本地すべり学会中部支部様シンポジウム
