- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2020-08-10T15:36:16+09:00","","")
[[・電子認証について]]
本項では、電子認証の内、特に情報システム開発で重要となる本人認証の方式を検討するための、考え方やプロセスについて解説します。
*システム構築における電子認証に関する基本的な考え方 [#f9b6833b]
電子認証とは、オンライン上の業務システムやサービスに対して、本人とIDに関連付けられたAuthenticator(パスワードや証明書などの認証子)を使い、本人に代わってAuthenticatorが正当な本人であることを認証システム (Verifier) に対して証明します。この Authenticatorが適切に管理されず、例えばパスワードが外部に流出すれば成りすましを許すため、以下の点を考慮して、取り扱うデータと Authenticator の適切な組み合わせを検討する必要があります。
+取り扱うシステムやデータ資産の重要度や漏洩や改ざんなどのインパクト
+取り扱うシステムやデータ資産にアクセスできる人(職務権限や業務上の役割)、もしくはバッチ処理等でアクセスするシステムの特定
+アクセスする際のNetworkや物理的領域での制限
+Authenticatorの特性と危殆化(漏洩等)した際のリスク
特に、①と②の明確化がなされた上で、初めて認証方式の検討が行われるべきであるといえます。
*電子認証に使用されるAuthenticatorの種類と課題 [#kefa40c3]
*Authenticator の種類 [#q5f684f5]
以下に代表的な Authenticator をあげます。
|種類|認証要素|内容|h
|パスワード |知識|ユーザーが記憶するもの。PIN(暗証番号)も含まれる。|
|ルックアップシークレット|所有|乱数表やリカバリコード表。|
|経路外デバイス|所有|スマートフォンのSMSによるコード送信、QRコードの読み取り。|
|単一要素ワンタイムパスワードデバイス|所有|ワンタイムパスワード発生器、もしくはソフトウェア。|
|多要素ワンタイムパスワードデバイス|所有+知識/生体|パスワードなどを入力すると稼働するワンタイムパスワードデバイス。|
|単一要素暗号ソフトウェア|所有|端末に保存されたクライアント電子証明書。|
|単一要素暗号デバイス|所有|FIDO U2FのUSBドングル。|
|多要素暗号ソフトウェア|所有+知識/生体|指紋認証などで有効化されるクライアント電子証明書。|
|多要素暗号デバイス|所有+知識/生体|パスワード、生体認証で有効化されるクライアント電子証明書が納められたUSBトークン。|
