サイバーセキュリティにおける認証:あなたは誰だと思いますか?

4 March 2024
Jane Porter Jane Porter

前回のブログで、この続編では認証と認可について取り上げると述べましたが、両方のトピックについて話すべきことが非常に多いことがすぐに分かったため、分割することにしました。この投稿では認証と認可を定義し、次の投稿ではベストプラクティスがどのように交差して全体的なセキュリティを向上させるかを見ていきます。初心者にとって、この2つの違いを理解するのは困難なことがよくあります。

サイバーセキュリティにおける認証とは、あなたが本人であることをシステムが確認するために使用できる何らかのレベルの情報を提供しなければならないことです。

認可とは、アクセスを得るために認証に成功した後、システムがあなたのアイデンティティに関する情報を使用して、あなたがアクセスを許可されているものと実行を許可されているアクションを理解することです。

認証アプローチは3つのカテゴリに分類されます:

1. あなたが知っているもの

あなたが知っているもので最も一般的に使用される認証方法はパスワードです。この問題は、厳密に言えば、ウェブサイト、アプリケーションなどにアクセスするために作成するすべてのユーザーIDは異なるものでなければならないということです。さらに複雑にするのは、最新のベストプラクティスでは、大文字と小文字、@などの記号、数字を含む少なくとも8文字のパスワードが必要であることを示唆していることです。

J0hnSm1th@Washington

私たちの職業生活で必要とされる複数のパスワードに従業員が対処できるよう、ほとんどの組織は現在シングルサインオンを実装しています。これにより、組織のすべてのアプリケーションに対して単一のパスワードを使用する能力が提供されます。

課題

パスワードの課題は、記憶に残る単語やフレーズなど、時々必要とされる追加情報と合わせて、それらをどのように維持するかです。私たちのほとんどが使用する標準的なアプローチは、市場に多数あるパスワード管理ツール、および/またはインターネット検索エンジンのいずれかです。後者は複雑なパスワードを自動生成し、特定のウェブサイトでどのパスワードが使用されているかを追跡することができます。パスワードについて覚えておくべき重要なことは、複数のサイトで同じパスワードを使用しないことです。これは、間違ったリンクをクリックして悪意のある行為者にパスワードの1つを露出してしまった場合、門戸を大きく開いてしまうことになります。

推奨事項

検索エンジンに自動生成されたパスワードを提供してもらい、それらを保存して各サイトで異なるパスワードを持てるようにすることをお勧めします。独自のパスワードを作成する必要があるアプリケーションについては、異なるものを使用し、パスワード管理ツールに保管してください。パスワード管理ツールはツールにアクセスするためのマスターパスワードが必要です。これを書き留めず、可能であれば第2認証要素(下記参照)を使用してツールのロックを解除してください。マスターパスワードを書き留める必要がある場合は、デバイスから離れた場所に保管し、安全に保管してください。例えば、自宅の人だけがアクセスできる机の引き出しに入れてください。持ち歩かないでください。パスワードを忘れることを心配する必要はありません。複数のアプリケーションで同じパスワードを使用するよりも、新しいパスワードを作成する手順を踏む方が望ましいです。

2. あなたが持っているもの

IoTの分野では、人間に加えて、クラウド内のアプリケーションに接続するデバイスもあります。「あなたが持っているもの」アプローチを使用するには、いくつかのオプションがあります:

ローカルまたはリモートアプリケーションへの安全な認証を提供するスマートカードまたはドングル。

ワンタイムパスワード—これは個人に登録されたデバイスに送信され、短期間持続するため、「あなたが持っているもの」と見なされます。

証明書ベースの認証—これはデバイスに設定でき、手動介入を必要としないため、デバイスで広く使用されています。証明書がデバイスに展開されると、そのデバイスを「信頼できる」と呼びます。大規模なIoT展開では、堅牢なデバイス管理機能を持つプラットフォームがセキュリティを維持するために重要になります。

課題

スマートカードを安全に保管する行為は、他のデバイスと同じように扱われる必要があり、認証を提供するデバイスと一緒に保管しないことが望ましいです。銀行カードのPIN番号のメモを、銀行カードも入っている財布に保管することを考えないのと同じことです。

証明書ベースの認証の秘密鍵はデバイス上に保持されます。これは、悪意のある行為者が秘密鍵を取得することを非常に困難にする方法で秘密鍵が保持されることを保証する責任があることを意味します。これは、ディスク上でキーを保持するために暗号化メカニズムを使用することで実現できます。

推奨事項

スマートカードまたは類似のものを使用する必要がある場合、推奨事項は1つだけです—安全に保管してください。紛失した場合は、アプリケーションアクセスを取り消す方法を知っておいてください。

多くの公開アプリケーションは、ユーザーに2要素認証(TFA)を有効にするよう要求します—すべての場合において、これを行うことをお勧めします。注意が必要なのは、新しいデバイスを取得する時です。例えば、Google AuthenticatorでTFAアカウントを転送したい場合、認証システムは新しいデバイスでスキャンできるQRコードを作成するオプションを提供します。転送が成功した後、そのQRコードを直ちに破棄するようにしてください。

証明書ベースの認証を使用する場合は、Trusted Platform Module(TPM)にキーを保存してください。これにより、秘密鍵がその名前が示すとおり—秘密—に保たれることが保証されます。証明書が侵害されたと思われる場合は、アクセスを取り消し、その後代替証明書を取得するようにしてください。

3. あなた自身であるもの

顔認識と指紋の形でのバイオメトリクスは、スマートフォンからラップトップまで、ほとんどのデバイスで利用可能になり、自分自身を識別する簡単な方法を提供しています。

バイオメトリクス識別を選択する際は、精度と速度の2つの要因を念頭に置く必要があります。精度とは、人を正しく識別するために使用される信頼レベルを指し、速度については、バイオメトリクス認識時間、つまり認証ソフトウェアが応答するのにどのくらい時間がかかるかを話しています。これらのいずれの場合でも、時間が長すぎると、ユーザーはそのアプローチを放棄してしまいます。

課題

あなたのビジネスと顧客プロファイルに適した正しいバイオメトリクス認証ソリューションを選択すること。重要なのは、ユーザーがそのアプローチを受け入れることで、より簡単なもののためにそれを放棄しないことです。

時々バイオメトリクスが失敗することがあるため、バックアップが必要です。私たちは皆、何らかの理由で顔認識が機能しない、または指紋メカニズムが失敗する状況を経験したことがあります。技術的には、指紋をリーダーから持ち上げることも可能です—これはかなり高度です—そして、高プロファイルまたは重要な情報を保持している場合にのみ、この危険にさらされる可能性があります。

12歳未満の人は顔認識を使用すべきではありません。人間の指紋はこの年齢より前には一貫性を保つのに十分発達していないためです。

推奨事項

単一要素認証は、複製が最も困難で、覚える必要がないものであるため、私たちの推奨アプローチです。これは利用可能なハードウェアと密接に関連しており、ハードウェアを交換する際は、常にバイオメトリクスデータを消去すべきです。

高度な認証

上記で議論したカテゴリに加えて、それらを組み合わせて認証への多層アプローチの利点を活用することができます。

多要素認証

多要素認証(MFA)は、上記で議論した3つのカテゴリのそれぞれから2つ以上の要素を組み合わせるアプローチです。これらの認証メカニズムのいずれか1つが失敗すると、認証は失敗します。これは多くのシステムで好まれるアプローチになっています。

課題

多要素認証の欠点は、正しく実装される必要があることです。ユーザーは、どのアプリケーションが第2要素を要求しているかを理解しなければなりません。そうでない場合、ユーザーはすべての要求を自動的に承認する習慣に陥り、アカウントの侵害につながります。

推奨事項

承認しようとしているものが分からない場合は、承認しないでください。何かが失敗するのを待ってから承認してください。このタイプの認証の実装を制御している場合は、エンドユーザーが承認しているものを絶対的に明確にするために、アプリケーションとユーザーIDが承認要求に含まれるようにしてください。

適応認証

最後に、認証に関する議論は、適応認証と呼ばれる最も包括的なアプローチに言及することなしには完了しません。これは、継続的に攻撃を受けている組織—例えば、小売銀行—によって使用され、したがって以下のような行動要因の一連を監視します:

  • 通常使用するブラウザ
  • 使用するオペレーティングシステムとそのパッチレベル
  • 通常パスワードを入力する速度
  • 通常システムにアクセスするタイムゾーンなど…
  • このアプローチは、そのような組織では常に使用されるべきです。

まとめ

まとめると、組織のビジネス要件をサポートしながら、ソフトウェアにアクセスする人々に最も適した認証方法を使用してください。IoT展開での認証については、証明書を管理する強力なデバイス管理機能を持つプラットフォームにより、登録、OTAアップデート、データ暗号化中のより安全な認証が可能になります。特定のユーザーグループに制限されたアプリケーションについては、多要素認証がサイバー犯罪者を阻止するのに役立ちます。

ユーザーエクスペリエンスを考慮しながら、以下の要因を考慮する必要があります:

コスト—あなたの組織は、ソリューションが常に最新のセキュリティ問題から保護することを保証するためにシステムを維持できるでしょうか。

精度—あなたのアプリケーション/システムのセキュリティ要件に見合った偽陽性/偽陰性に対してあなたのビジネスはどの程度寛容でしょうか。

パフォーマンス—デバイス/人が諦める前に、どのくらい迅速に認証する必要がありますか。

次の投稿では、認証と認可のベストプラクティスがどのように交差して全体的なセキュリティを向上させるかを強調します。

IoTアーキテクチャについて専門家と話す