認証とは

一般的な認証シナリオを考えてみましょう。Eメール・アカウントにログインするために、ユーザーIDとパスワードを入力しているとします。ユーザーが自分のユーザーID（この場合はおそらくメールアドレス）を入力するとき、メール・システムに「これは本人です」と伝えていることになります。

しかし、エンド・ユーザーの身元を確認するのに、それだけでは不十分です。誰でも好きなユーザーIDを入力できます。特に、ユーザーIDがEメール・アドレスのように公開されているものである場合はなおさらです。自分が本当にそのEメール・アドレスの持ち主であることを証明するために、ユーザーはパスワードを入力します。パスワードは、（理論的には）他の誰も持っていないはずの秘密の情報です。Eメール・システムは、このユーザーが本当のアカウント所有者であることを識別し、そのユーザーを受け入れます。

認証プロセスは、サーバー、Webアプリケーション、その他のマシンやワークロードなど、人間以外のユーザーの身元を確認することもできます。

認証は情報セキュリティー戦略の基本的な要素です。特に、IDおよびアクセス管理（IAM）、つまりユーザーがデジタル・リソースにアクセスする方法を扱うサイバーセキュリティーの分野では重要です。認証により、組織はネットワークへのアクセスを正当なユーザーに制限できます。認証は個々のユーザーの権限を適用する最初のステップです。

今日、ユーザーIDは脅威アクターにとって格好の標的となっています。IBM X-Force Threat Intelligence Indexによると、有効なユーザー・アカウントの乗っ取りは、攻撃者がネットワークに侵入する最も一般的な方法であり、サイバー攻撃の30%を占めています。ハッカーは認証情報を盗んで正当なユーザーを装い、ネットワーク防御をすり抜けて、マルウェアを仕掛けたり、データを盗んだりします。

これらのIDベースの攻撃に対抗するため、多くの組織は純粋なパスワード・ベースの認証方法から移行しつつあります。その代わりに、ユーザーの認証情報が盗まれたり、偽造されたりしにくい多要素認証、適応型認証、その他の強力な認証システムを採用しています。

認証と認可は関連していますが、異なるプロセスです。認証はユーザーの身元を確認し、認可は検証されたユーザーにリソースへの適切なレベルのアクセスを許可します。

認証と認可は、次の補足的な2つの質問に答えるものと考えることができます。

• 認証：あなたは誰ですか。
  
  
• 認可：このシステムで何をすることが許可されていますか。

通常、認証は認可の前提条件です。例えば、ネットワーク管理者がセキュアなシステムにログインする場合、正しい認証要素を提供することによって、自分が管理者であることを証明する必要があります。そうして初めて、IAMシステムは、そのユーザーが他のユーザーを追加したり削除したりするなどの管理アクションを実行することを許可します。

大まかに言うと、認証は、認証要素とも呼ばれるユーザー認証情報の交換に基づいています。ユーザーは、認証システムに認証情報を提供します。それらがシステムに登録されているものと一致する場合、システムはユーザーを認証します。

もう少し深く掘り下げると、認証プロセスを一連のステップに分けることができます。

1. まず、新規ユーザーは認証システム内でアカウントを作成する必要があります。このアカウント作成の一環として、ユーザーは、単純なパスワードから物理的なセキュリティー・トークンや指紋スキャンまで、さまざまな認証要素を登録します。（詳細については「認証要素」を参照してください。）
   
   これらの要素は、ユーザーのみが持っている、または知っているものでなければなりません。そうすることで、認証システムは、これらの要素を提供できる人がいれば、その人がユーザーに違いないと合理的に確信することができます。
   
   
2. 認証システムは、ユーザの認証情報をディレクトティーまたはデータベースに保管します。ここで、それらの認証情報はユーザーのIDやその他の重要な属性と関連付けられます。
   
   セキュリティー上の理由から、認証システムは通常、認証情報をプレーン・テキストとして保管しません。その代わり、ハッシュ化または暗号化されたバージョンを保管します。そのため、ハッカーはそれらを盗んでも、あまり役に立ちません。
   
   
3. ユーザーがシステムにログインする際には、ユーザーIDと登録した認証要素を提供します。認証システムは、このユーザーIDのディレクトリー・エントリーを調べて、そのユーザーIDの認証情報がディレクトリーに保存されている認証情報と一致するかどうかを確認します。一致したら、認証システムはユーザーの身元を確認します。
   
   認証されたユーザーが次に何ができるかは、別個の、しかし関連する認証プロセスによって決まります。

この例では人間のユーザーを想定していますが、認証は一般的には人間以外のユーザーでも同じように行われます。例えば、開発者がアプリをアプリケーション・プログラミング・インターフェース （API）に初めて接続するとき、APIがAPIキーを生成する場合があります。キーは、APIとアプリだけが知っている秘密の値です。それ以降、アプリがそのAPIを呼び出すたびに、呼び出しが本物であることを証明するためにキーを示す必要があります。

ユーザーが自分の身元を証明するために使用できる認証要素には、次の4つの種類があります。

従来、個々のアプリ、Webサイト、その他のリソースには、ユーザー認証を処理する独自のIAMシステムがありました。デジタル・トランスフォーメーションの台頭と企業や消費者向けアプリの普及により、この断片化されたシステムは面倒で不便なものとなっています。

組織は、ユーザーを追跡し、ネットワーク全体で一貫したアクセス・ポリシーを適用することに苦労しています。ユーザーは単純なパスワードを使用したり、システム全体で認証情報を再利用したりするなど、セキュリティーに関する習慣が不十分です。

これに対応するため、多くの組織は、単一のシステムでさまざまなアプリや資産に対してユーザーを認証できるような、より統一されたアイデンティティー・アプローチを導入しています。

• シングル・サインオン（SSO ）とは、ユーザーが単一の認証情報を使用して一度だけログインすると、特定のドメイン内の複数のアプリケーションにアクセスするできる認証スキームです。

• フェデレーションIDアーキテクチャーは、1つのシステムが別のシステムのためにユーザーを認証できる、より広範な認証の取り決めです。ソーシャル・ログイン（Googleアカウントを使用して別のWebサイトにログインするなど）は、フェデレーションIDの一般的な形態です。

• IDオーケストレーションは、個々のシステムからIDと認証を削除し、IDをそれ自体のネットワーク・レイヤーとして扱います。IDオーケストレーション・ソリューションは、IDファブリックと呼ばれる統合レイヤーを導入し、あらゆるアプリや資産を統合できるカスタム認証システムを作成できるようにします。

認証システムが異なれば、使用する認証スキームも異なります。最も一般的な種類には次のものがあります。

• 単一要素認証
• 多要素認証と2要素認証
• 適応型認証
• パスワード不要認証

単一要素認証（SFA）プロセスでは、ユーザーは自分の身元を証明するために1つの認証要素のみを提供する必要があります。最も一般的には、SFAシステムはユーザー名とパスワードの組み合わせを利用します。

ハッカーはたった1つの認証情報を盗めば、ユーザーのアカウントを乗っ取ることができるため、SFAは最も安全性の低い種類の認証であると考えられています。米国サイバーセキュリティー・インフラセキュリティー庁（CISA）は、SFAを「悪い慣行」として正式に推奨していません。

多要素認証（MFA）方式は、少なくとも2つの異なるタイプの要素を必要とします。ハッカーはユーザー・アカウントを乗っ取るために複数の認証情報を盗む必要があるため、MFAはSFAよりも強力であると考えられています。また、MFAシステムでは、パスワードよりもはるかに盗みにくい認証情報を使用する傾向があります。

2要素認証（2FA）は、2つの認証要素のみを使用するMFAの一種です。これは、おそらく現在使用されているMFAの中で最も一般的な形式です。たとえば、あるWebサイトで、パスワードと携帯電話にテキストで送信されるコードの両方を入力するよう求められる場合、それは2FAスキームが機能していることになります。

適応型認証システムはリスクベース認証とも呼ばれ、人工知能（AI）と機械学習（ML）を使用して、ユーザー行動を分析し、リスク・レベルを算出します。適応型認証システムは、ユーザーの行動が現時点でどの程度危険であるかに基づいて、認証要件を動的に変更します。

たとえば、誰かがいつものデバイスと場所からアカウントにログインする場合、パスワードだけを入力する必要があるかもしれません。同じユーザーが新しいデバイスからログインしたり、機密データにアクセスしようとした場合、適応型認証システムは、続行を許可する前にさらに多くの要素を求めることがあります。

パスワードレス認証は、パスワードやその他の知識要素を使用しない認証システムです。たとえば、Fast Identity Online 2（FIDO2）認証標準は、パスワードを公開鍵暗号化に基づくパスキーに置き換えます。

FIDO2では、ユーザーは自分のデバイスを、アプリ、Webサイト、またはその他のサービスの認証装置として機能するように登録します。登録時に、公開鍵と秘密鍵のペアが作成されます。公開鍵はサービスと共有され、秘密鍵はユーザーのデバイスに保存されます。

ユーザーがサービスにログインしようとすると、サービスからユーザーのデバイスにチャレンジが送信されます。ユーザーは、PINコードの入力、指紋のスキャン、またはその他のアクションを実行することで応答します。このアクションにより、デバイスは秘密鍵を使用してチャレンジに署名し、ユーザーの身元を証明できます。

認証情報の窃盗を防ぐために、パスワードレス認証を採用する組織が増えています。窃盗者は、盗むのが比較的簡単という理由で知識要素に注目する傾向があるからです。

• SAML（Security Assertion Markup Language ）は、アプリやサービスがXMLッセージを通じてユーザー認証情報を共有できるようにするオープン・スタンダードです。多くのSSOシステムは、SAMLアサーションを使用して、統合アプリに対してユーザーを認証します。
  
• OAuthとOpenID Connect（OIDC）： OAuthはトークンベースの認可プロトコルであり、アプリ間で認証情報を共有することなく、あるアプリに対して別のアプリのデータへのアクセスを許可します。例えば、ユーザーがソーシャル・メディア・サイトに自分のEメールの連絡先をインポートさせる場合、このプロセスにはOAuthが使われることがよくあります。
  
  OAuthは認証プロトコルではありませんが、OAuthプロトコルの上に構築されたIDレイヤーであるOpenID Connect （OIDC）と組み合わせることができます。 ODICは、OAuthの認証トークンの他に、IDトークンを追加します。これらのIDトークンはユーザーを認証し、その属性に関する情報を含むことができます。
  
  
• Kerberos は、Microsoft Active Directoryドメインで一般的に使用されるチケットベースの認証スキームです。ユーザーとサービスは、中央の鍵配布センターで認証を受けます。そこで、ユーザーとサービスが互いに認証し、同じドメイン内の他のリソースにアクセスすることを許可するチケットが付与されます。

サイバーセキュリティー対策がより効果的になるにつれて、脅威アクターは正面から取り組むのではなく、対策を回避することを学習しています。強力な認証プロセスは、ハッカーがユーザー・アカウントを盗み、有効な権限を悪用してネットワーク防御をすり抜け、大混乱を引き起こすIDベースのサイバー攻撃を阻止するのに役立ちます。

X-Force Threat Intelligence Indexによると、IDベースの攻撃は最も一般的な初期攻撃ベクトルであり、脅威アクターは認証情報を盗むために多くの手口を持っています。ユーザーのパスワードは、たとえ強力なパスワードであっても、ブルートフォース攻撃によって簡単に解読されます。この攻撃は、ハッカーがボットやスクリプトを使用し、1つのパスワードが有効になるまで可能性のあるパスワードを体系的にテストするというものです。

脅威アクターはソーシャル・エンジニアリング戦術を使用して、ターゲットを騙してパスワードを盗む可能性があります。中間者攻撃や被害者のデバイスにスパイウェアを埋め込むなど、より直接的な方法を試すこともできます。攻撃者はダークウェブで認証情報を購入することもできます。ダークウェブでは、他のハッカーが以前の侵害で盗んだアカウント・データが販売されています。

しかし、いまだに多くの組織が非効率的な認証システムを使用しています。X-Force Threat Intelligence Indexによると、識別と認証の失敗は、Webアプリケーションのセキュリティー・リスクとして、2番目に多く観察されるものです。

強力な認証プロセスは、ハッカーが認証情報を盗み、正当なユーザーを装うことを困難にすることで、ユーザー・アカウントとユーザーがアクセスできるシステムを保護するのに役立ちます。

例えば、多要素認証（MFA）は、ハッカーが物理的なデバイスや生体認証データなど複数の認証要素を盗まなければ、ユーザーになりすますことができないようにします。同様に、適応型認証スキームは、ユーザが危険な行動をしていることを検知した場合、続行を許可する前に追加の認証チャレンジを課すことができます。これは、盗んだアカウントを悪用しようとする攻撃者の試みを阻止するのに役立ちます。

サイバーセキュリティーを強化することで、認証はさらなるメリットをもたらすこともできます。たとえば、IBMのInstitute for Business Valueの調査では、運用担当役員の66%がサイバーセキュリティーを収益の促進要因とみなしていることがわかりました。

認証システムは、個々のユーザー・アカウントを保護する以外にも、次のような特定のユースケースに対応できます。

• アクセス・コントロール： きめ細かなアクセス・ポリシーを実施し、ネットワーク内でのユーザーの行動を監視するために、組織はシステム内の誰が誰であるかを判別する何らかの方法が必要です。認証により、組織はネットワーク・アクセスを正当なユーザのみに制限し、各ユーザが適切な権限を持っていることを確認し、アクティビティーが特定のユーザーによるものであると考えることができます。
  
  
• 法規制への準拠：多くのデータ・セキュリティーとプライバシー規制では、厳格なアクセス制御ポリシーと包括的なユーザー・アクティビティーの追跡が求められます。Payment Card Industry Data Security Standard（PCI DSS） のような規制の中には、MFAシステムの使用を特に義務付けているものもあります。¹
  
  
• AIセキュリティー：脅威アクターはAIツールを利用して高度なサイバー攻撃を実行するわけですが、強力な認証策の助けがあると、高度な脅威さえも阻止できます。たとえば、詐欺師は生成AIを利用して、信ぴょう性を持たせたフィッシングメッセージを作り上げ、さらに多くのパスワードを盗むことがありますが、適応型認証システムの支援があると、詐欺師がアカウント権限を悪用しようとしたときに捕まえることができます。