日経コミュニケーション 2010.7 「”今できる”最善のユーザ認証を考える」
目次
概要
ユーザ認証のさまざまな仕組みとクラウドを利用したユーザ認証のサービスについて解説
対象
- ユーザ認証の仕組みについて学びたい方
- ユーザ認証の仕組みを効率化したいと考えているシステム管理者の方
レビュー
PCはすでに1人1台どころか、職場と自宅で別のPCを使うように、1人で何台も使い分けることが当たり前です。そして、インターネットや社内LANなどネットワークを介して、いろんなサービスやアプリケーションを利用しています。
PCにログインするとき、サービスやアプリケーションを利用するときに必ずといっていいほどユーザ認証を行います。PCやアプリケーション、サービスを利用するユーザが正規のユーザであるかどうかを確認するための仕組みがユーザ認証です。扱うPCが増えたり、利用するサービスやアプリケーションが増えてくればくるほど、管理側にとってもユーザ側にとっても、頭を悩ませるのがユーザ認証で
しょう。
ユーザ認証として利用する仕組みのほとんどは、ユーザID/パスワードです。利用するサービスやアプリケーションが多くなればなるほど、それぞれのユーザID/パスワードの管理が大変になります。それぞれのサービスごとに別々のユーザID/パスワードを設定すると、覚えにくくなります。覚えやすいように、共通のユーザID/パスワードを設定している場合も多いでしょう。でも、サービスごとのユーザID/パスワードのポリシーが違っていて、共通のユーザID/パスワードを設定できないこともよくあります。共通のユーザID/パスワードを設定している場合、その情報が第三者に漏れてしまった場合は、複数のサービスを不正に利用されてしまうリスクが高まってしまいます。
よくセキュリティと利便性は相反すると言われていますが、ユーザ認証を考えるとそのことがよく実感できます。セキュリティを強固にするために、ガチガチにユーザ認証を行うと利便性は著しく損なわれてしまいます。
なるべく利便性を損なわずに、不正アクセスされにくく、複数のユーザ認証を行うようにできればいいなぁと、誰もが思っていることでしょう。そんな方に今回の日経コミュニケーションの記事はピッタリです。こうしたよりよいユーザ認証を行うためには、ユーザ認証の仕組みを知っておく必要があります。そのためには、P20の図4がとても分かりやすいです。ユーザ認証で利用する認証の要素とそれぞれのメリット、デメリットがとても分かりやすくまとまっています。認証の要素は複数組み合わせると、より強固な認証になります。どの認証要素を組み合わせるかには、正解はありません。ケースバイケースです。システムやサービスに応じて、適切な認証要素の組み合わせを検討するために、P20の図4はとても役に立つでしょう。
そして、ユーザ認証のアウトソーシングの仕組みについて解説されています。「ユーザ認証をアウトソーシングする」なんて大丈夫なのかと思ってしまいましたが、そのための仕組みが考えられているんですね。SAML(Security Assertion Markup Language)というプロトコルを利用して、安全に認証情報や認証結果を通知して、適切なサービスにリダイレクトできるようにしています。SAMLはこの記事ではじめて知ったプロトコルで、勉強になりました。
また、P26~P27のコラムの考え方もとても面白いものです。利便性と強固なユーザ認証という、本来、相反するものを両立させるためのリスクベース認証の概要です。ユーザには、これまでの認証と同じように見せているのですが、その後のユーザの行動を分析して、”本人らしさ”をシステムとして確認していく仕組みです。他にも、最後のコラムで「Cisco TrustSec」の概要についても触れられています。これもはじめて知った機能です。ざっと見てみると、プライベートVLANのようなアクセス制御をACSサーバとスイッチ、ルータで連携してダイナミックに提供するような機能ですね。
記事を読んでみて、ユーザ認証の基本的についてはよい復習になりました。そして、これまで知らなかったユーザ認証の仕組みや新しい機能など、とても得るものが大きい記事でした。ユーザ認証についてもっとよく考えてみたい方は、ぜひご覧ください。