認証とは

認証とは、ネットワークやシステムを利用するユーザまたは機器が正規のものであると確認することです。認証によって、正規のユーザ以外がネットワークやシステムにアクセスできないようにします。そのため、認証はセキュリティ対策において最も基本的かつ重要です。

図 認証の概要
図 認証の概要

認証の要素

認証において、何をもって正規のユーザであることを確認するかということを考えなければいけません。正規のユーザであることを確認するには、大きく3つあります。

  • ユーザが知っているはずの情報
  • ユーザが保持しているはずのモノ
  • ユーザの身体的な特性(バイオメトリクス)

ユーザが知っているはずの情報による認証の例は、一般的なパスワード認証です。「正規のユーザであれば自身のパスワードを知っているはず」です。パスワードによって正規のユーザであることを確認しているわけですが、もちろん、第三者にパスワードが漏れていないということが大前提です。また、パスワードがあまりにも短すぎたり、辞書に載っているような単語だけだと、第三者にパスワードが解読されてしまう危険性が大きくなります。

ユーザが保持しているはずのモノによる認証の例は、ICカードなどです。正規のユーザにICカードが組み込まれた社員証を配布しておきます。つまり、「正規のユーザであればICカード機能付きの社員証を持っているはず」ということで正規のユーザであること確認します。ICカードリーダーに社員証をセットしているとネットワークやシステムを利用できるようにする認証方式があります。

そして、ユーザの身体的な特性による認証は、いわゆるバイオメトリクスです。指紋や網膜などユーザ個人の身体的な特性をあらかじめ登録しておきます。「正規のユーザならあらかじめ登録している身体的な特性と同じはず」ということで正規のユーザであることを確認します。

図 認証の要素
図 認証の要素

二要素認証

より強力な認証を実現するためには、2つ以上の要素に基づいた認証を行います。複数の要素に基づいた認証を行うことを二要素認証と呼んでいます。たとえば、パスワード認証とICカードを用いた認証を両方とも利用することでより強力な認証を行うことができます。

ネットワーク認証

認証を行うタイミングとして、まず、ネットワークに接続するときが挙げられます。ネットワークに接続する際の認証をネットワーク認証と呼びます。主なネットワーク認証の技術は以下のとおりです。

  • ポートセキュリティ
  • IEEE802.1X
  • CHAP認証(PPPoE)

ポートセキュリティ

ポートセキュリティは、LANに接続するPCのMACアドレスをチェックして正規のPCであるかを確認します。有線のイーサネットで構築したLANだけではなく、無線LANのアクセスポイントに接続するときの認証でもよく利用します。

手軽な認証方式でよく利用されていますが、認証の強度としてはあまり強くありません。やらないよりもやっておいた方がよいというぐらいです。MACアドレスは偽装することが難しくありません。MACアドレスを偽装すれば簡単にすり抜けられます。また、MACアドレスが変更されてしまったら、ポートセキュリティの設定をやり直さなければいけません。

図 ポートセキュリティの概要
図 ポートセキュリティの概要

ポートセキュリティについて、以下の記事で詳しく解説しています。

ネットワークのおべんきょしませんか?
 
ポートセキュリティ ~つながっているPCは正規のPCですか?~
https://www.n-study.com/layer2switch/port-security-overview/
ポートセキュリティの概要ポートセキュリティは、スイッチに接続されるホストのMACアドレスをチェックし、不正なMACアドレスであればポートを利用させないようにする機能です。つまり、ポートセキュリティとは、ポートに接続するホストが正規のものであるかどうかをデータリンク層のレベルのアドレスであるMACアドレスによって認証します。企業の社内ネットワークに接続するには、まず、レイヤ2スイッチに接続します。レイヤ2スイッチはネットワークの入り口に当たります。ネットワークのセキュリティを確保するためには、入り口での認...

IEEE802.1X

IEEE802.1Xは、ネットワーク(主にLAN)に機器を接続するときに、その危機を利用しているユーザが正規のユーザであるかを認証します。ポートセキュリティはMACアドレスしかみていないのですが、IEEEE802.1Xはユーザレベルの認証を行うことになります。

IEEE802.1X認証は、別途、認証サーバが必要です。認証サーバにユーザの情報を登録しておきます。PCなどがレイヤ2スイッチや無線LANアクセスポイントにつなげたときに、認証サーバに認証要求を送り、正規のユーザであるかを確認します。認証の要素としては、パスワードやデジタル証明書などさまざまなものを利用できます。認証サーバが必要になるので、導入するハードルが少し高くなります。

図 IEEE802.1Xの概要
図 IEEE802.1Xの概要

CHAP認証(PPPoE)

CHAP認証は、インターネットに接続する際のインターネットサービスプロバイダでの認証でよく利用されます。CHAP認証はPPPの認証機能の一つです。通常、PPPは専用線などの1対1の通信回線で利用するプロトコルですが、イーサネットの環境でも使えるようにPPPoE(PPP over Etherrnet)として、CHAP認証を行うことが多いです。CHAP認証はユーザ名とパスワードによる認証です。

図 CHAP認証の概要
図 CHAP認証の概要

ネットワークのおべんきょしませんか?
2022年ページビューランキング | ネットワークのおべんきょしませんか?
https://www.n-study.com/2022-pv-ranking/
2022年「ネットワークのおべんきょしませんか?」コンテンツのページビューランキングTOP10です。

ネットワーク技術解説記事のアップデートや新規記事をTwitterでお知らせしています。

CCNAを目指すなら『基礎からのCCNA(200-301)攻略テキスト』

詳細な解説と実践的な演習シナリオでスキルアップ

「ネットワークのおべんきょしませんか?」内の記事を検索

セキュリティの基礎