まずは、ユーザー認証からはじめよう
技術的な情報セキュリティ対策には様々なものがありますが、まずアクセス制御を適切に行うことが必要です。このアクセス制御が適切でなければ、なりすまし、不正な情報やシステムの利用などが発生する可能性があります。アクセス制御にも様々な種類がありますが、ここではユーザーの認証について説明していきます。
ユーザー認証で最も大切なことは、ユーザー個々の役割と権限を明確にすることです。明確にされた役割と権限によって、アクセス権が割り当てられ、設定されることになります。そのために重要になるのが「アイデンティティ(identity)・マネジメント」です。
「アイデンティティ・マネジメント」は、情報システムやネットワークにおいて、ユーザーのアイデンティティ情報(ID、権限、プロファイル等)の設定を継続的に追加・変更・削除するための技術です。
「アイデンティティ」とは、人を一意に識別するための情報です。アイデンティティは、自己同一性などとも言われ、「自己」が環境や時間の変化にかかわらず、連続する同一のものであり、本人に間違いないこと、を表す言葉です。
アイデンティティは、現在だけでなく過去や将来においても、利用しているシステムの変更などがあっても、その人の所属部門等が変わっても、誰かいつどういうことをしたかを識別し追跡可能にすること、つまりアカウンタビリティのための必須かつ重要な情報です。
アクセス制御は、図表1のように1.「識別」-2.「認証」-3.「認可」の3つのプロセスからなっています。システムにアクセスするすべてのユーザーは、これらのプロセスを経なければなりません。これにより、アカウタビリティが提供されるからです。
- 「識別」は、ユーザーの本人性を特定するプロセスです。アクセスをしようとしている人が誰であるかを見極めるプロセスです。識別に使われる情報には、ユーザーIDなどがあります。
- 「認証」は、特定したユーザーの本人性を検証するプロセスです。認証に使われる情報や技術には、パスワード、認証カード、生体(バイオメトリクス)情報などがあります。
- 「認可」では、ユーザーは何ができるかを特定し、その権限での利用を許可するプロセスです。
認可をする際には、その人の業務上、必要な権限のみを付与します(知る必要性、最小権限等の考え方が認可のための原則として用いられます)。
認証では複数の要素を組み合わせる「他要素認証」を使うことで、その強度が高まります。1つの認証の手段を強化するよりも、複数の要素を組み合わせるほうが認証の強度が高くなります。たとえば、パスワードの桁数や記号を使う等でその複雑性を高めるよりも、パスワード以外の情報(セキュリティコード等)や技術(認証カード等)を加えるほうが強度が高まります。
ましてや、アクセス権は、なりすましや不正等が発生しないよう、そして設定ミス等を見つけられるよう、定期的に見直すことが必要です。
