情報セキュリティマネジメント

【情報セキュリティマネジメント 平成29年春期 午前問18】2要素認証の例に関する問題を解説

2要素認証に該当する組みはどれか。

 

 クライアント証明書,ハードウェアトークン

 静脈認証,指紋認証

 パスワード認証,静脈認証

 パスワード認証,秘密の質問の答え

2要素認証の意味を知っているか、認証の種類とその例を知っているかを問う問題。まずはざっくり認証の話をしてから、問題の解説に入ります

利用者認証とその種類

利用者認証はその認証方法によって以下の三つに分類することができます。

  1. 知識認証(知識による認証)
  2. 所有物認証(所有物による認証)
  3. 生体認証(身体的特徴による認証)

認証技術についての詳しいことを知りたい方は、こちらの問題の解説も参照するとよいかと思います。

【ITパスポート 平成26年 秋期問60】認証技術の分類に関する問題を解説 認証技術を,所有物による認証,身体的特徴による認証及び知識による認証の三つに分類したとき,分類と実現例①~③の適切な組合せはどれ...

認証技術はひとつの種類だけを使うのではなく、複数の種類の認証を組み合わせることで、セキュリティを強化することができます。複数の種類の認証を組み合わせることを多要素人情認証といいます。そのうち、二つの種類の認証を組み合わせることを2要素認証と言います。

例えば知識認証の場合、知識が漏れてしまえばだれでも認証を突破できますが、所有者認証と組み合わせることで、知識が漏れただけでは認証を不正に突破することができなくなります。この場合、認証に用いる知識と物の両方が流出しなければ安全なのです。1つだけの要素が流出するよりも、複数の要素が流出する可能性のほうが低いのでより安全というわけです。

また、同じ種類の認証を2つ組み合わせるよりも、別々の種類に分類される認証を組み合わせたほうがより安全です。たとえば「知識認証×知識認証」よりも「知識認証×所有物認証」のほうが好ましいです。

似たような言葉に2段階認証というものがあります。こちらは一回パスワードで認証して、次にメールに送られてきたPINコードで認証、といったように2段階に分けて認証を行う事をいいます。3段階以上も含めて多段階認証という場合もあります。

2段階認証の場合、認証の種類(要素)が異なるとは限りません。先ほどのパスワードとPINコードの例では両方、知識認証ですね。段階を踏んだほうが一発で認証するよりも不正認証する人にとって難しくなります。

2段階認証は1段階目と2段階目で認証の種類が異なる場合、2要素認証にもなります。また、2要素認証は2つの認証を段階に分けて行えば2段階認証でもあります。つまり、二つの似たような言葉は独立したものではなく、重複する場合もあるということです。

2要素にするとセキュリティの強度は上がりますが、トレードオフとしシステムが煩雑になり、コストや認証する側の面倒くささが上昇しがちです。

アの解説

 クライアント証明書,ハードウェアトークン

クライアント証明書は物です(電子的なので持っている感じはありませんが)。持っているか持っていないが重要になるので、クライアント証明書による認証は所有物認証です。

ハードウェアトークンとは、ワンタイムパスワードを発行する機器の事です。ワンタイムパスワードとは1回限りの使い捨てパスワードの事です。パスワード認証というと知識認証っぽくもありますが、機器を持っていれば誰でも発行できる、つまりは機器を持っているかどうかが重要なので、これも所有物認証に該当します。

したがって、「所有物認証×所有物認証」の認証なので2要素認証ではありません。アは×

クライアント証明書は一つの端末(スマホやPC)ごとにインストールして使うもので、インストールされた端末を使って通信することで認証が可能となります。この場合、インストールした端末を盗まれると、不正認証のリスクが発生します。

ハードウェアトークンを使った認証と言えばネットバイキングのシステムとかですね。銀行側から送られてくる機器を使ってワンタイムパスワードを生成します。この認証のイメージはこちらのサイトなどを見るとイメージが湧きやすいと思います。

「ハードウェアトークン」によるワンタイムパスワードの導入について(群馬銀行)

両方とも所有物認証の場合、例えば同居する家族による不正認証を防ぐのが難しくなりますね。なので、例えばパスワード認証と組み合わせれば、本人がいなければ知識であるパスワードを家族は知りませんから、より安全になります。

イの解説

 静脈認証,指紋認証

静脈、指紋ともに身体的特徴であるから、両方とも生体認証です。したがってイは×

静脈認証は皮膚の下にある静脈という血管の形を元に認証を行う方法です。静脈の形は指紋と同様、人によって異なりますし、完全に一致することはありません。

指紋などは体の表面的な部分ですが、静脈は体内の特徴なので、偽物を複製するのも非常に難しいです。指紋などは型を取れますが、欠陥はそうもいかないからです。指紋と違って外部の影響で形が変わりにくく、認証の精度も高いです。認証装置が高額なのが欠点。

両方生体認証だと、生体情報を持っている本人の体だけを盗めれば不正認証が可能となります。スタンガンで気絶させて指を認証装置に通す、などです。また、認証に必要な人を脅すことによって認証を不正に突破するホールドアップ認証の危険も高いと言われています。

過去にはこんなニュースもありました。

Malaysia car thieves steal finger(BBC News)

タイトルを日本語に訳すと「マレーシアで車泥棒が指を盗んだ」です。指紋認証を搭載した高級車を盗むために所有者の指を切断し盗んだ、という内容です。

生体情報も盗めないわけではないので、2要素認証にしておいたほうがより安全というわけです。

ウの解説

 パスワード認証,静脈認証

パスワード認証は知識認証、静脈認証は生体認証なので、2つの種類の要素を活用した認証となっています。したがってこれが2要素認証であり、ウが正解

エの解説

 パスワード認証,秘密の質問の答え

両方とも知識認証です。したがってエは×

知識認証×知識認証だと、ユーザ側が忘れるリスクが高くなります。また、人によっては癖が出やすいところもあり、認証を突破するのが2要素の場合と比べ楽になる場合もあります。知識要素の管理がザルな人の場合、まとめて流出することも多いです。

類題

【基本情報 平成27年秋期 午前問45】2要素認証の例に関する問題を解説 2要素認証に該当するものはどれか。 ア 2本の指の指紋で認証する。 イ 虹彩とパスワードで認証する。 ...

こちらは基本情報の問題です。求められる知識レベルは同等ですが、選択肢が文章いなっている分こっちのほうが難しい、かも。