認証とは? 定義と方法 | Microsoft Security

認証の定義

認証とは、適切なアクセス権を持つ適切な人、サービス、アプリだけが組織のリソースに到達できることを企業が確認するために使用するプロセスです。これはサイバーセキュリティにおける重要な部分ですが、その理由は、悪意のあるアクターの最優先事項がシステムへの無許可アクセス獲得であるからです。これを達成するために、アクセス権を持つユーザーのユーザー名とパスワードが盗まれます。認証プロセスには、次の 3 つの主要ステップが含まれます。

本人識別: ユーザーは自分が誰であるかを、一般的にはユーザー名を使用して示します。
認証: 一般的に、ユーザーは自分が自称するとおりの人物であることを証明するためにパスワード (そのユーザーだけが知っているもの) を入力しますが、セキュリティを強化するために、多くの組織は本人が所持するもの (スマートフォンまたはトークンデバイス) または本人の身体の一部 (指紋または顔スキャン) によってその人の ID を証明することも要求しています。
認可: ユーザーがアクセスしようとしているシステムに対してそのユーザーがアクセス許可を持つことが、システムによって確認されます。

認証はなぜ重要なのですか?

認証が重要なのは、組織のシステム、データ、ネットワーク、Web サイト、アプリケーションを攻撃から保護するのに役立つからです。また、個人データの秘密を守ることにも役立つので、銀行取引や投資などのビジネスをオンライン上で行うときのリスクを抑えることができます。認証プロセスが強力ではないときは、攻撃者が個人のパスワードを推測する、あるいは人々をだまして資格情報を手渡すよう仕向けるといった方法で簡単に特定のアカウントを侵害することができてしまいます。このことは、次のようなリスクにつながるおそれがあります。

データの侵害や漏洩。
マルウェア (たとえばランサムウェア) がインストールされる。
データプライバシーに関する、地域または業種の規則への非準拠。

認証のしくみ

ユーザー側では、認証を行うにはユーザー名、パスワード、およびその他の認証方法 (たとえば顔スキャン、指紋、または PIN) の設定が必要です。ID を保護するために、これらの認証方法はどれも、そのサービスのデータベースには保存されません。パスワードはハッシュされ (暗号化ではなく)、そのハッシュがデータベースに保存されます。ユーザーがパスワードを入力すると、入力されたパスワードもハッシュされて、これらのハッシュが比較されます。この 2 つのハッシュが一致する場合は、アクセスが許可されます。指紋や顔のスキャンの場合は、その情報がエンコードされ、暗号化されてからデバイス上に保存されます。

認証方法の種類

従来の認証では各システムが本人確認を行いますが、対照的に先進認証では、信頼できる独立した ID システムに認証プロセスが委任されます。また、使用される認証方法の種類も変化しています。ほとんどのアプリケーションではユーザー名とパスワードが要求されますが、悪意のあるアクターがパスワード盗みの腕を上げてきているため、セキュリティのコミュニティは ID の保護に役立つ多数の新しい方法を開発しています。

パスワードベースの認証

パスワードベースの認証は、認証方式として最も一般的です。多くのアプリとサービスでは、人々がパスワードを作成するときに、悪意のあるアクターに推測されるリスクを縮小するために数字、英字、記号の組み合わせを使うことが求められます。しかし、パスワードにはセキュリティと便利さの点で課題もつきものです。人々が自分のオンラインアカウントごとに異なるパスワードを考えて記憶するのは簡単ではなく、これが理由でパスワードが再利用されることも多くなっています。また、攻撃者はさまざまな戦術を使ってパスワードを推測するか盗み出し、あるいは人々が不本意ながらパスワードを共有するように仕向けます。このような理由から、組織はパスワードよりも安全な、他の認証方式に移行しています。

証明書ベースの認証

証明書ベースの認証とは、暗号化を用いる方法であり、デバイスや人々が他のデバイスやシステムに対して、自分が誰であるかを示すことができます。一般的な例の 1 つはスマートカードで、もう 1 つは従業員のデバイスからネットワークまたはサーバーに送信されるデジタル証明書です。

生体認証

生体認証では、生物学的な特徴を使用して人々の本人確認を行います。たとえば、多くの人々は指を使ってスマートフォンにサインインしており、コンピューターの中にはユーザーの顔または網膜をスキャンして本人確認を行うものがあります。この生体認証データは特定のデバイスにもリンクされているため、攻撃者はそのデバイスへのアクセスも獲得しない限り、そのデータを使うことはできません。この種の認証が使われることが増えていますが、その理由は人々にとって簡単であり (記憶しておく必要がありません)、悪意のあるアクターにとっては盗むのが難しいため、パスワードよりも安全であるからです。

トークンベースの認証

トークンベースの認証では、デバイスとシステムの両方が、時間ベースワンタイム PIN (TOTP) と呼ばれる新しい一意の数字を 30 秒間隔で生成します。この数字が一致すると、そのユーザーがそのデバイスを所持していることがシステムによって確認されます。

ワンタイムパスワード

ワンタイムパスワード (OTP) とは、1 回のサインインのために生成されるコードであり、発行から短時間で失効します。これは SMS メッセージ、メール、またはハードウェアトークンを介して届けられます。

プッシュ通知

アプリやサービスの中には、ユーザー認証にプッシュ通知を使用するものがあります。この方法では、アクセス要求を承認するか拒否するかを尋ねるメッセージが人々のスマートフォンに送信されます。人々は、プッシュ通知の送信元であるサービスにサインインしようとしているにもかかわらず、誤って通知を承認してしまうこともあるため、この方法は OTP 方式と組み合わせて使用されることもあります。OTP を使用する場合は、システムによって一意の数字が生成され、ユーザーはこれを入力する必要があります。これで、認証のフィッシング耐性が高くなります。

音声認証

音声認証では、サービスへのアクセスを試みる人に電話がかかってくるので、その指示に従ってコードを入力するか、口頭で本人確認を行います。

多要素認証

アカウント侵害をなくす最善の方法の 1 つは、2 つ以上の認証方法を要求することであり、これには前述の認証方法のどれを使用してもかまいません。ベストプラクティスとして、次のうち 2 つを要求することをおすすめします。

ユーザーが知っているもの。一般的にはパスワードです。
ユーザーが所持しているもの。たとえば、簡単には複製できない信頼できるデバイス (スマートフォンやハードウェアトークンなど) です。
ユーザーの身体の一部。たとえば指紋や顔のスキャンです。

たとえば、多くの組織はアクセスを許可する前にパスワード (ユーザーが知っているもの) を要求し、さらに OTP を SMS 経由で信頼できるデバイス (ユーザーが所持しているもの) に送信します。

2 要素認証

2 要素認証は多要素認証の一種であり、2 とおりの方式の認証を要求するというものです。

認証と認可の違い

認証 (authentication、AuthN と表記されることもあります) と認可 (authorization、AuthZ と表記されることもあります) は同じ意味で使われることもよくありますが、この 2 つは互いに関連があるものの、まったく別のものです。認証とは、サインインするユーザーが自称するとおりの人物であることの確認ですが、認可とはそのユーザーが必要としている情報にアクセスするための適切な許可を持っていることの確認です。たとえば、人事担当者には給与や従業員ファイルなどの、機密性の高いシステムへのアクセスが許可されますが、他の人々はこれらを見ることはできません。認証と認可のどちらも、生産性の実現と機密データ、知的財産、およびプライバシーの保持に不可欠です。

認証セキュリティに関するベストプラクティス

アカウント侵害は、攻撃者が企業のリソースへの無許可アクセスを獲得するためのきわめて一般的な方法であるため、強力な認証セキュリティを制定しておくことが重要です。ここでは、お客様の組織を保護するためにできることをいくつかご紹介します:

多要素認証を実装する

アカウント侵害のリスクを縮小するためにできることの中で最も重要なのは、多要素認証をオンにして、少なくとも 2 つの認証要素を要求することです。認証方法が 1 つの場合と比べて、攻撃者にとっては盗みがはるかに難しくなります。特に、生体認証を使う場合や、ユーザーが所持しているもの (たとえばデバイス) を認証に使う場合です。従業員、顧客、パートナーにとって可能な限りシンプルにするために、さまざまな要素の中から本人が選べるようにしましょう。ただし、認証方法はどれでも同じではないことに注意してください。セキュリティのレベルの差があります。たとえば、SMS 受信は何もしないよりは良いのですが、プッシュ通知のほうがセキュリティの点では上です。

パスワードレスに移行する

多要素認証の設定が完了したら、さらに、パスワードの使用を制限してその他の 2 つ以上の認証方法 (たとえば PIN と生体認証) を人々に使用させるとよいでしょう。パスワードの使用を減らしてパスワードレスに移行すると、サインインのプロセスが効率化されてアカウント侵害のリスクが縮小します。

パスワード保護を適用する

従業員教育の他にも、推測されやすいパスワードの使用を減らすのに使用できるツールがあります。パスワード保護のソリューションを利用すると、Password1 のような、よく使われているパスワードを禁止することができます。また、お客様の会社または地域に固有のカスタムリスト (たとえば地元のスポーツチームや名所の名前) を独自に作成することもできます。

リスクベースの多要素認証を有効にする

認証イベントの中には、侵害のインジケーターとなるものもあります。たとえば、従業員が会社のネットワークに新しいデバイスから、または通常とは異なる場所からアクセスしようとしているときです。その他のサインインイベントは、変則的ではなくても高リスクの場合があります。たとえば、人事担当者が従業員の個人特定可能な情報にアクセスする必要があるときです。リスクを縮小するには、お客様の ID およびアクセスの管理 (IAM) ソリューションによってこの種のイベントが検出されたときに、少なくとも 2 つの認証要素を要求するように設定しておきます。

便利さを優先する

効果的なセキュリティを実現するには、従業員とその他の利害関係者からの賛同が必要です。人々が高リスクのオンライン活動に関与するのをセキュリティポリシーで防止できることもありますが、ポリシーがあまりにも煩わしい場合は、人々が回避策を見つけるようになります。最高のソリューションとは、現実的な人間の行動に適応できるものです。セルフサービスパスワードリセットのような機能を導入すると、人々がパスワードを忘れてしまったときでもヘルプデスクへの問い合わせを不要にすることができます。このことは、強いパスワード選びの促進にもつながる可能性があります。後で忘れてしまったとしても簡単にリセットできることを人々が知るからです。どの認可方法を使うかを自分で選べるようにしておくことも、サインインを簡単にするための優れた方法です。

シングルサインオンの展開

便利さとセキュリティを高める優れた機能の 1 つがシングルサインオン (SSO) です。アプリを切り替えるたびにパスワードを要求されるのは誰にとっても好ましいことではなく、時間を節約するために同じパスワードを複数のアカウントで使うことにつながる可能性があります。シングルサインオンならば、従業員は 1 回サインインするだけで仕事に必要なアプリのほとんど、またはすべてにアクセスできます。これによって摩擦が減るとともに、従業員が使用するソフトウェアのすべてに対して共通の、または条件付きのセキュリティポリシー (たとえば多要素認証) を適用できるようになります。

最小特権の原則を使う

役割に基づく特権アカウントの数を制限して、人々の仕事に必要な最小限の特権を付与します。アクセス制御を確立しておくことは、お客様の最重要のデータとシステムに到達できる人の数を減らすのに役立ちます。機密性の高いタスクの実行が必要になったときは、特権アクセス管理 (たとえば時間の長さを指定した Just-In-Time アクティブ化) を使用して、さらにリスクを縮小します。また、管理者のアクティビティを実行するデバイスを制限するとよいでしょう。つまり、人々が日常的なタスクに使用するコンピューターとは別の、セキュリティが厳重なデバイス上でのみ実行するよう要求します。

侵害があるものと考えて定期的な監査を実施する

多くの組織では、人々の役割と雇用状態が定期的に変化します。従業員が会社を離れることもあれば、部署を異動することもあります。パートナーがプロジェクトに参加し、プロジェクトから離れます。このことは、アクセスルールが追いついていない場合に問題となる可能性があります。重要なのは、仕事に必要ではなくなったシステムとファイルへのアクセス権を人々が保持していないようにすることです。攻撃者に機密情報を掌握されるリスクを縮小するには、ID ガバナンスソリューションを使用して、アカウントと役割の監査を定常的に行います。このようなツールは、人々に必要なものへのアクセス権だけをその人に与えることと、組織を離れた人のアカウントを確実に非アクティブにすることにも役立ちます。

ID を脅威から保護する

ID およびアクセスの管理のソリューションには、アカウント侵害のリスク縮小に役立つツールが多数ありますが、それでも侵害を見越しておくことは賢明です。十分な教育を受けた従業員でも、フィッシング詐欺にだまされることがあります。アカウント侵害を早期発見するには、ID の脅威に対する保護ソリューションに投資して、疑わしいアクティビティの発見と応答に役立つポリシーを実施します。多くのモダンなソリューション、たとえば Microsoft Security Copilot では、AI を使用して脅威を検出するだけでなく、それに対する応答が自動的に行われます。

クラウド認証のソリューション

認証は、強力なサイバーセキュリティプログラムと従業員の生産性発揮の両方にとって不可欠です。包括的なクラウドベースの ID およびアクセス管理のソリューション、たとえば Microsoft Entra のツールを利用すると、人々の仕事に必要なものに簡単に到達できるようにすると同時に、強力なコントロールを適用して攻撃者によるアカウント侵害と機密データへのアクセス獲得のリスクを縮小することができます。

Microsoft Entra ID

ID およびアクセス管理で組織を安全に守りましょう。

詳細情報

Microsoft Entra ID ガバナンス

適切な人が適切なアプリへの適切なアクセス権を適切なタイミングで持つことを、自動的に保証できます。

詳細情報

日当たりのいいオフィスにいる 2 人の若い女性: 眼鏡をかけている 1 人はノート PC で作業しています。デニムジャケットを着たもう 1 人は、スマートフォンを見て微笑んでいます。

Microsoft Entra Verified ID

オープン標準に基づくマネージド型の、検証可能な資格情報のサービスを利用してお客様の ID を分散化しましょう。

詳細情報

Microsoft Entra ワークロード ID

アプリやサービスに付与される ID を管理してセキュリティで保護します。

詳細情報

FAQ

認証の種類はさまざまなものがあります。いくつかの例を次に示します。
多くの人々が顔認識または指紋を使ってスマートフォンにサインインしています。
銀行などのサービスでは多くの場合、人々がサインインするときにパスワードに加えて SMS で自動送信されるコードの使用が要求されます。
ユーザー名とパスワードだけを要求するアカウントもありますが、多くの組織はセキュリティ強化のために多要素認証に移行しています。
従業員が自分のコンピューターにサインインすると多数のさまざまなアプリに同時にアクセスできることがよくありますが、これをシングルサインオンといいます。
アカウントの中には、ユーザーに Facebook または Google のアカウントを使用したサインインを許可しているものもあります。これに該当する場合は、Facebook、Google、または Microsoft がユーザー認証の責任を負い、そのユーザーがアクセスを希望するサービスに認可を引き継ぎます。
クラウド認証とは、適切なアクセス許可を持つ適切な人とアプリだけがクラウドのネットワークとリソースへのアクセスを獲得できることを確認するサービスです。多くのクラウドアプリにはクラウドベースの認証が組み込まれていますが、Microsoft Entra ID のようなより広範な機能を持つソリューションもあり、複数のクラウドアプリとサービスにわたって認証を処理するように設計されています。このようなソリューションでは一般的に SAML プロトコルが使用されているため、1 つの認証サービスを複数のアカウントにわたって機能させることができます。
認証と認可は同じ意味で使われることもよくありますが、この 2 つは互いに関連があるものの、まったく別のものです。認証とは、サインインするユーザーが自称するとおりの人物であることの確認ですが、認可とはそのユーザーが必要としている情報にアクセスするための適切な許可を持っていることの確認です。認証と認可を共に使用すると、攻撃者による機密データへのアクセス獲得のリスクを縮小することができます。
認証を使用する目的は、デジタルのリソースとネットワークへのアクセス権を付与する前に、その人やエンティティが自称するとおりの存在であることを確認することです。第一のゴールはセキュリティですが、先進認証ソリューションは便利さも高めるように設計されています。たとえば、多くの組織は従業員が仕事に必要なものを簡単に見つけられるようにするためにシングルサインオンソリューションを導入しています。コンシューマーサービスでは人々がサインインするときに自分の Facebook、Google、または Microsoft のアカウントを使用できることも多く、認証プロセスがこれでスピードアップします。

認証とは?