ここから本文です

「二要素認証」を実現するためのポイント

@IT 7月14日(木)6時10分配信

 2015年11月に出された「新たな自治体情報セキュリティ対策の抜本的強化に向けて(pdf)」に関連し、特に市区町村で行うべき情報セキュリティ対策(自治体情報システム強靭(きょうじん)性向上モデル)を紹介する本連載。第2回となる今回は、市区町村に求められるセキュリティ4要件の1つである「二要素認証」の具体的な実現方法や方式ごとの違いを解説します。

【その他の画像】ICカード認証の「接触型」と「非接触型」について

●二要素認証とは

 はじめに、二要素認証について概説します。そもそもここでいう「認証」とは、何を認証するものでしょうか? 強靭性向上モデルで求められるのは、“ある操作を行っているのが本人かどうか”という「人」の認証です。PCやスマートフォンなどの「端末」を認証するのではありません。

 人を認証する目的は、第1回でも触れたように、「不正な第三者によるなりすましの防止」や「操作を行った個人の特定」を行うことにあります。前者は、不正な第三者によって情報が漏えいしてしまうのを防ぐもので、後者は、情報漏えい事故などが起こったときに、流出元を特定し、その後の流出先などを把握するために必要となります。また、個人を確実に特定できる仕組みを作ることは、それ自体が不正の抑止につながります。

 さて、人の認証で用いられる要素には、「知識」「所持」「存在」の3種類があります。それぞれ、本人しか知り得ない知識(例:パスワード)、本人しか所持していないもの(例:本人のICカード)、本人が存在しなければ確認できない情報(例:指紋)を指します。強靭性向上モデルでは、“二要素”認証が求められていますから、これらのうち2つ以上の要素を組み合わせる必要があります。3つの認証について、以下の図に整理します。

 本稿では、「所持」を用いた例としてICカードによる認証、「存在」を用いた認証として生体認証を取り上げ、詳しく説明します。

●ICカードによる認証

 まずはICカードについて解説します。ICカードにはIC(Integrated Circuit:集積回路)チップが埋め込まれています。このICチップの情報を、カードリーダが読み取ります。ICカードには、「接触型」と「非接触型」があり、以下のような違いがあります。

 市区町村で端末に対する二要素認証を行う場合は、ICカードなどを用いた「非接触型」が中心になります。「非接触型」のICカードは、既に入退室管理のカードや職員証などで利用されていることも多いでしょう。それらのICカードをそのまま二要素認証に利用できれば、コストを削減できるだけでなく、複数のカードを持たなくてよいため、利便性も高まります。また、ICカードの貸し借りを減らす効果もあり、結果としてセキュリティ向上にもつながります。

●ICカード認証を実現するためのシステム構成

 それでは、ICカードによる二要素認証を実現するには、何を準備すればよいのでしょうか? 一般的には、「1.管理サーバ」「2.クライアント用ソフトウェア」「3.ICカードリーダ」「4.ICカード」が必要です。また、導入する製品にもよりますが、認証サーバ(MicrosoftのActive Directoryなど)も必要になることがあります。

 ICカード認証用のソフトウェアは、各社からさまざまなものが提供されていますが、それらの多くが充実した機能をそろえています。例えば、OSへのログオンだけでなく、OS上のアプリケーションのログオンにも、ICカードによる二要素認証を拡張できる機能などがあります。また、製品によって差異はありますが、以下のような機能もあります。

<ICカード認証用ソフトウェアの機能例>

・ログの取得

 ログオンしたユーザーのユーザー名、コンピュータ名、認証時刻、認証の成功/失敗などの情報が管理サーバに記録されます。万が一、情報漏えい事故が起こった場合には、ログを基に状況分析を行うことができます。

・共有端末への対応(複数人が1つのIDでログオン)

 システムにログオンするIDは、1ユーザー当たり1つが原則です。しかし実際には、複数人で共用端末を利用し、IDを共用せざるを得ないこともあります。そんな場合にも、既存のシステムを変更することなく、共用IDを使ったまま、個人を識別することができます。

・自動ロック

 複数人で1台のPCを利用するような場合、誰かがログオンしたままのPCを別の人が利用できてしまうと、確実な本人認証が実現できません。そこで、離席時に、ICカードをリーダから離すことで自動的にPCにロックを掛けます。

・緊急パスワード

 ICカードを忘れたり、カード読み取り装置が故障したりしたときに、ICカードによる認証ができなくなってしまうことがあります。そんなときに、緊急パスワードを設定することで、ICカードがなくてもログオンが可能になります。この仕組みを乱用することはセキュリティの観点では好ましくありませんが、業務の円滑な遂行という観点からは、利用期間や回数に制限を設けた上で運用をすることも求められるでしょう。

・オフライン認証

 通常、認証はネットワークを通じて管理サーバで行われます。そのため、ネットワークや管理サーバが故障すると、認証が正常に行えず、PCにログオンできなくなってしまうことがあります。しかし、そんな場合でも、PCに保持したキャッシュ情報を使用してログオンを実現する機能があります。この機能を有効にすることは、安価なシステム構築にも役立ちます。故障などに備えた管理サーバの冗長化に掛かるコストを削減できるからです。

●生体認証

 続いて、生体認証について解説します。生体認証のシステム構成は、前述したICカード認証の構成と基本的には同じです。ICカードは不要ですが、「1.管理サーバ」「2.クライアント用ソフトウェア」「3.生体認証の装置」が必要になります。

 以下で、生体認証の主な例として、指紋認証、静脈認証、顔認証の特徴を紹介します。なお、製品によっては「指紋と静脈」など、複数の生体認証に対応しているものもあります。

 認証精度に関して、FRRとFARの説明を補足します。「FRR(False Rejection Rate:本人拒否率)」は、本人を誤って拒否(Rejection)してしまう確率で、これが高いと、本人なのにログインできないことが多くなります。「FAR(False Acceptance Rate:他人受入率)」は、他人を誤って受け入れてしまう(Acceptance)確率で、これが上がると不正な第三者にログインされてしまう危険性が高まります。“FRRを低下させようとするとFARが高まってしまう”というように、両者はトレードオフの関係にあります。

 一昔前は、生体認証といえば「何度も認証エラーになる」といったイメージを持たれていた時期もありました。しかし、最新の生体認証機器では認証精度が大きく向上しており、認証に使う部位を隠したり、極端に素早く動いたりするなど不自然なことを行わない限り、100%に近い確率で認証に成功するようになっています。また、認証速度も年々向上しており、利用者数などによる影響はあるものの、おおむね1秒以内には認証が完了するようになっているようです。

●二要素認証の導入作業

 では、実際にこれらのシステムを導入するに当たり、どのような作業が必要となるのでしょうか。

 まず、ICカード認証の場合は、職員証など既存のICカードを流用できる可能性があります。その際、既存のICカードの設定変更は不要です。ICカードリーダは、ICカード固有の番号(例:FeliCaの場合はIDm)を読み取るだけだからです。また、ICカードを流用する場合も新規に購入する場合も、固有ID番号などの情報を、CSVファイルなどで一括登録することができる点は便利です。

 一方、生体認証の場合は、ユーザー(職員)の生体情報を個別に登録する作業があります。従って、ICカード認証に比べて、システム管理者とユーザー双方の負担が増えます。生体情報の登録は、1人につき3回程度の読み取り作業を行うだけですが、職員に作業手順を説明したり、事前に“本人確認”をする必要があり、意外に手間が掛かるのです。

 とはいえ、一度登録してしまえば、忘れることも紛失することもないという点で、導入後の運用の手間は軽減される仕組みだといえます。

 さて、今回は、二要素認証に関して、特にICカード(所持)と生体認証(存在)を取り上げて解説しました。一口に二要素認証と言っても、前述したようにさまざまな方式があり、それぞれに利点があります。各自治体にとって、最適な方法を選択するのが望ましいでしょう。

●筆者プロフィール 粕淵卓:西日本電信電話株式会社 ビジネス営業本部 クラウドソリューション部 セキュリティサービスG 主査。現在はセキュリティの専門家として大規模なセキュリティシステムの設計、インシデント対応、コンサルティング、セミナーなどを担当。保有資格は、情報セキュリティスペシャリスト、ITストラテジスト、システム監査技術者、技術士(情報工学)、CISSPなど多数。著書に「NetScreen/SSG 設定ガイド(技術評論社)」などがある。

最終更新:7月14日(木)6時10分

@IT