【本日の学び】情報セキュリティ概論-第2回:パスワード・認証の授業を終えて

トータル山本

今回は放送大学「情報セキュリティ概論 – 第2回」です。
今回の講義は、東邦大学の金岡准教授によるものです。
テーマは、情報セキュリティの基礎であるパスワードと認証について。

ネット上で安全にサービスを利用するために、理解しておきたい重要なポイントを押さえていますので、ぜひ最後まで読んでみてください。

パスワードと認証の基礎

インターネット上でサービスを利用する際、多くの方がIDとパスワードを使ってログインすることに慣れているでしょう。
これが「認証」と呼ばれるプロセスで、簡単に言えば「自分が誰であるかを証明する」ことです。

認証の方法は、本人確認の手段によって次の3つに分類されます。

  1. 記憶による認証 (Something you know)
    パスワードやPINコードなど、本人が知っている情報を使う方法です。
  2. 所持による認証 (Something you have)
    ICカードやスマートフォンなど、本人が持っているものを使う方法です。
  3. 本人の特徴による認証 (Something you are)
    指紋や顔認証など、身体的な特徴を使う方法です。

リモート認証とローカル認証

認証には大きく分けてリモート認証ローカル認証の2種類があります。

  • リモート認証
    例:ウェブサイトにアクセスしてログインする際の認証。
    この場合、通信の途中でパスワードが盗まれるリスクがあります。
    リスクを軽減するために、TLSなどの通信暗号化技術が使用されます。
  • ローカル認証
    例:スマートフォンのロック解除の際の認証。
    この場合も、のぞき見や端末の紛失といったリスクがあるため、端末自体の暗号化が重要です。
    特に生体認証は、ローカル認証で使用されることが多いです。

認証の強度とリスク

すべてのサービスで同じレベルの認証が必要なわけではありません。
例えば、銀行口座のログインとオンラインゲームのログインでは、求められる安全性のレベルが異なります。

リスクが高いサービスでは、多要素認証 (MFA: Multi-Factor Authentication) を導入することが一般的です。
多要素認証は、次のように複数の認証要素を組み合わせて、安全性を高めます。

  • パスワード(記憶)
  • スマートフォンに送られる確認コード(所持)
  • 指紋認証(本人の特徴)

パスワードの生成と管理のコツ

多くの人が「123456」や「password」のような推測しやすいパスワードを使ってしまうのは、覚えやすさを優先するからです。
しかし、こうしたパスワードは簡単に破られてしまいます。

そこで、次のポイントを押さえたパスワード設定が重要です。

  • 長いパスワードパスフレーズを使用する
    例:意味のある文章を覚え、それをパスワード化する方法。
  • 同じパスワードを複数のサービスで使い回さない
    1つのサービスでパスワードが漏れると、他のサービスでも不正アクセスされるリスクがあります。
  • パスワード管理ツールを活用する
    複数の強力なパスワードを安全に管理できます。
    ただし、ツール自体のセキュリティにも気を配る必要があります。

サーバー側の対策

サービス提供者側でも、パスワードの安全性を高めるために次のような対策が取られています。

  • ハッシュ化
    パスワードをそのまま保存するのではなく、暗号化して保存します。
    ハッシュ化されたパスワードは、万が一漏洩しても直接的な悪用を防ぐことができます。
  • ソルトストレッチング
    ハッシュ化をより安全にするため、パスワードにランダムなデータを加えたり、繰り返し計算することで安全性を高めます。

パスワード攻撃の種類

パスワードに対する攻撃にはいくつかの種類があります。

  • オンライン攻撃
    実際のサービスにパスワードを入力し、ログインを試みる手法です。
  • オフライン攻撃
    盗み出したパスワード情報を攻撃者の環境で解析する方法です。
  • ソーシャルエンジニアリング
    ユーザーをだましてパスワードを入手する方法です。
  • リスト型攻撃
    過去に漏洩したパスワードリストを使い、他のサービスへのログインを試みる攻撃です。

認可について

最後に、認可という概念についても触れておきます。
認証でユーザーの本人性を確認した後、そのユーザーがどのリソースにアクセスできるかを制御するのが認可です。

シングルサインオン (SSO) も認可の応用例の一つです。

まとめ

トータル山本

今回の解説では、パスワードと認証について、基本からリスクと対策、攻撃方法、認可まで幅広くカバーしました。
パスワードは私たちの日常に欠かせないものですが、それと同時に適切な管理が求められる重要な要素です。

ユーザー側とサービス提供側の双方が協力して、より安全な認証を実現していくことが求められます。
引き続き、情報セキュリティについて理解を深め、安全なインターネットライフを送りましょう!

放送大学の学びは社会人に最適

放送大学はオンデマンドで授業を受けられるため、働きながらでも学びを続けられる最適な環境です。

リスキリングにも非常に効果的で、自分のペースで新たな知識やスキルを身につけられます。

学ぶ楽しさを実感しながら、自分を成長させていきましょう!

投稿者プロフィール

トータル 山本
トータル 山本代表社員
こんにちは。トータル山本と申します。

田舎暮らしのフリーランスクリエイターです。
情報デザインをビジネスに活用することを実践し、お伝えするのが仕事です。

のんびりと自然に囲まれながら、日々クリエイティブな仕事を楽しんでいます。

起業してから早25年以上!その間、なんとかデジタルの波に乗り、ITに閉鎖的な地方でやってきました。

私のモットーは「自由な時間」。
建設業界にいた30年ほど前は、朝6時に家を出て、夜12時に帰宅。
そして資格試験の勉強を深夜2時まで行い、土日も出勤していました。
残業手当は微々たるもの。
そんな、ザ・昭和のブラック労働を20代前半に経験した私にとって、「自由な時間」の獲得が最大の目的です。
そのために、仕事にも健康にも真剣に向き合っています!

Follow me!