「アクセスしているのは誰か」を確認する「本人認証」に対して、「どんな端末でアクセスしているか」を確認する「端末認証」も重要な場合があります。どんな場面だと端末認証が必要なのか、そして、その端末認証の方法について説明します。

アクセス端末を制限する必要性

ここまでの内容で主眼に置いていたのは、「アクセスしているのは誰か」という「本人認証」についてでした。
一般的なWebサービスにおいては、誰がログインしているのかを確認し、そのサービスにおける、その会員(ID)を特定したうえで、サービスを提供します。どのIDがログインしようとしているかを確認するだけで、サービスは提供され、会員に対してアクセスするための端末を限定するようなことはありません。
対して、企業において社外から社内ネットワーク・システムへアクセスする場合等では、アクセスしているのが従業員かどうかを認証するだけでなく、会社から許可された端末からアクセスしているかどうかを確認することも重要です。
会社内にあり、社内のネットワークにすでに登録されているパソコンからのアクセスであれば、物理的にセキュリティが担保されています。
しかし、社外からのアクセスの場合だと、どんな端末からのアクセスかわかりません。社内から持ち出したノートパソコンなのか、個人のスマートフォンなのか、誰かから借りたスマートフォンなのか、自宅のパソコンなのか、ネットカフェのパソコンなのか……。
通常、企業においては、使用する端末にウィルスチェックソフトウェア等をインストールし、ウィルス対策をしているかと思います。自宅からのアクセスを許可する場合は、アクセスに使用する自宅の端末のセキュリティ対策状況を管理するでしょう。しかし、ネットカフェの端末はそのような対策がされているのかは不明ですし、汚染されている可能性があります。そのような端末から社内ネットワークにアクセスされた場合、その汚染が社内ネットワークに広がってしまう恐れがあります。
このような可能性を排除するために、業務システムにおいては、その業務システムのセキュリティレベルに応じて、アクセス可能な端末を制限する必要があるでしょう。
また、アクセスできる端末を限定するということは、その端末を持っていないとログインできないという「I Have認証」を成立させることになります。つまり、本人認証においては「I Know認証」を採用し、端末認証においては「I Have認証」を採用することで、2要素認証が成立し、より強固な認証環境を構築することができます。
この点からも、本人認証には「I Know認証」の方式を採用したほうが良いということになります。

端末認証を行うための方式

端末認証は、認証サーバー側にログイン可能な端末をあらかじめ登録しておいて、実際の認証の際には、アクセスしてきた端末が認証サーバーに登録されている端末かどうかを確認する、という流れになります。
それでは、どのような方法で認証サーバー側がアクセスを受け入れる端末として登録するのか、その方法をいくつか紹介します。

●デジタル証明書
端末認証の方法としてまず挙げられるのが「公開鍵認証方式(PKI)」によって発行された「デジタル証明書」を利用する方式です。
あらかじめデジタル証明書を発行し、インストールしておく ことで、実際のアクセス時に認証サーバーがその証明書を確認し、アクセスに有効な端末として認証します。
証明書が発行されていない端末でアクセスした場合は、パスワード等による本人認証を受け付けるべき端末として認識されないので、仮に正しいパスワードを知っていたとしても、ログインは認められません。これが、不正なアクセスに対する防御となります。

●クッキー
次に「クッキー(Cookie)」があります。
クッキーとは、ある端末からWebサイトにアクセスした際、 ブラウザを通じて、その端末にユーザーの識別情報や訪問情報等のデータを書き込む仕組みです。
ユーザーは、Webサイトが発行するクッキーをブラウザ経由で受け入れます。ログイン認証を受ける際は、そのクッキーの有無や書き込まれている情報によって、正しいアクセスであるかどうかを識別できるというわけです。
デジタル証明書と違い、インストール不要で利用することができます。

●端末コード・MACアドレス・IPアドレス
スマートフォン等の端末には、それぞれ固有の「端末コード」=個体識別番号が割り振られています。個々の端末が独自に持っているコードをIDとして利用し、ログインを認めてもいい端末であるかどうかを識別することが可能です。
また、ネットワーク接続に利用する機器(LANカード、無線 LAN等)には、やはり個々に48ビット・16進数の物理アドレスが割り当てられています。これを「MACアドレス」といいます。機器1台1台に割り当てられている固有の識別番号であるため、ネットワーク接続機能を搭載したパソコン等の機器も、 このMACアドレスによって端末識別を行うことが可能になります。
「IPアドレス」も端末識別に利用できます。IPアドレスはネットワークに接続された機器に対して割り振られる論理アドレスのことで、構成はプロトコルによって異なり、IPv4では32ビット、IPv6では128ビットの数値が使われます。ただし、固定IPアドレスはWebサーバー等のインターネットに直接接続している機器に割り当てられるものであり、日常で利用するパソコンやスマートフォン等の端末では、接続の度にIPアドレスが変わってしまうのが一般的です。

リスクベース認証

アクセスしている端末を識別した上で、なりすましによる不正アクセスを防止しようという認証方法のひとつが「リスクベース認証」です。
例えば金融機関のWeb サイトに、いつも家で使っているものとは異なる出先のパソコンからログインするとします。すると、サイト側では端末の識別番号等から、いつもと違う環境からアクセスしていると判断し、通常のユーザーID +パスワードに加え、あらかじめ設定しておいた秘密の質問(「母の旧姓は?」「出身小学校は?」等)への返答を求めてきたり、登録している電話番号にショートメール(SMS)を送って、確認をしたりします。
このような、いつもと異なる場合だけ、正しいアクセスであるかを確認する仕組みがリスクベース認証です。
アクセスしている端末を識別したうえで、「I Know 認証」との組み合わせによる認証を追加で行うわけです。

「ITセキュリティ強化の道」記事カテゴリ

※この記事は、パスロジムック「ITセキュリティ強化の道 ~「認証」を極めて、セキュリティ&業務効率UP!~」から抜粋・転載した内容です。