認証技術
セキュリティ
本人確認の方法はいろいろ!二要素認証とパスキーは特に最近注目されてるよ!
認証技術
簡単にいうと
本人確認の方法はいろいろ!二要素認証とパスキーは特に最近注目されてるよ!
① ユーザ認証の手法
ユーザ認証とは、システムにアクセスしようとしている人が本当に本人であるかを確認するプロセスです。代表的な認証方式を見ていきましょう。
ワンタイムパスワード(OTP)
一度きりしか使えない使い捨てのパスワードです。ログインのたびに新しいパスワードが生成されるため、万が一盗聴されても次回以降は使えません。スマートフォンアプリ(Google Authenticatorなど)やSMSで送信される6桁のコードが身近な例です。
SSO(シングルサインオン)
一度の認証で複数のシステムやサービスにアクセスできる仕組みです。ユーザーは1つのID/パスワードだけを覚えればよく利便性が向上しますが、その1つの認証情報が漏洩するとすべてのシステムが危険にさらされるリスクがあります。
バイオメトリクス(生体認証)
指紋、虹彩、静脈パターン、顔の特徴など、身体的特徴を使って本人確認を行う方式です。パスワードのように忘れたり盗まれたりする心配が少ない反面、一度データが漏洩すると変更できないという課題があります。生体認証には2つの誤り指標があります。
- 本人拒否率(FRR): 本人なのに拒否してしまう確率
- 他人受入率(FAR): 他人なのに受け入れてしまう確率
チャレンジレスポンス方式
サーバが乱数(チャレンジ)を送信し、クライアントがそれを秘密情報で変換した結果(レスポンス)を返す方式です。パスワード自体をネットワーク上に流さないため、盗聴に強い特徴があります。
② 二要素認証 vs 二段階認証
認証で使用する要素は大きく3種類に分類されます。
| 認証要素 | 内容 | 例 |
|---|---|---|
| 知識要素 | 本人だけが知っている情報 | パスワード、暗証番号、秘密の質問 |
| 所有要素 | 本人だけが持っている物 | スマートフォン、ICカード、セキュリティトークン |
| 生体要素 | 本人の身体的特徴 | 指紋、虹彩、顔、静脈 |
この3つの要素を踏まえた上で、以下の違いを押さえましょう。
| 区分 | 二要素認証 | 二段階認証 |
|---|---|---|
| 定義 | 異なる種類の認証要素を2つ組み合わせる | 認証のステップを2回に分ける |
| 要素の種類 | 必ず異なるカテゴリから2つ | 同じカテゴリの2回でもOK |
| 具体例 | パスワード(知識)+指紋(生体) | パスワード(知識)+秘密の質問(知識) |
| 安全性 | より高い(異なる攻撃手法が必要) | 二要素認証より低い場合がある |
二要素認証は必ず異なるカテゴリから要素を選ぶ点がポイントです。パスワード+秘密の質問は両方とも「知識要素」なので、二段階認証ではあっても二要素認証にはなりません。
③ リスクベース認証とパスキー認証
リスクベース認証
ログイン時の状況(IPアドレス、端末情報、利用時間帯、位置情報など)からリスクを自動的に判定し、リスクが高い場合のみ追加認証を求める方式です。普段と異なる場所からのアクセスで追加の本人確認を求められた経験がある方もいるのではないでしょうか。これがリスクベース認証の一例です。
パスキー認証(FIDO認証)
パスワードそのものを使わない新しい認証方式で、FIDO(Fast Identity Online)アライアンスが策定した標準規格に基づいています。公開鍵暗号技術を活用し、以下のような特徴を持ちます。
- サーバにはユーザーの公開鍵のみを保管(パスワードデータベースが不要)
- 端末側に保存された秘密鍵で認証情報に署名し、サーバの公開鍵で検証
- フィッシング攻撃に強い(ドメインに紐づいた認証のため偽サイトでは動作しない)
- マルチデバイス対応: クラウド経由で複数端末間でパスキーを同期できる
パスキーはApple、Google、Microsoftの主要プラットフォームで対応が進んでおり、パスワードに代わる次世代の認証手段として普及が加速しています。
具体例
二要素認証の身近な例を確認してみましょう。
スマートフォンのモバイルバンキングにログインする場面を想像してください。
まず、パスワードを入力します(知識要素)。次に、アプリが指紋認証を求めます(生体要素)。この2つはそれぞれ異なるカテゴリの認証要素であるため、これは「二要素認証」に該当します。
一方、パスワードを入力した後に「母の旧姓は?」という秘密の質問に答える場合、これは知識要素+知識要素の組み合わせです。2回のステップを踏んでいるので「二段階認証」ではありますが、同じカテゴリの要素しか使っていないため「二要素認証」とは呼べません。
試験では「以下のうち二要素認証に該当するものはどれか」という形式で出題されます。選択肢の中から異なるカテゴリの組み合わせを見つける練習をしておきましょう。
よくある選択肢の判断例を挙げます。
- パスワード+指紋 → 知識+生体 → 二要素認証に該当
- パスワード+ICカード → 知識+所有 → 二要素認証に該当
- パスワード+秘密の質問 → 知識+知識 → 二要素認証ではない(二段階認証)
- 指紋+虹彩 → 生体+生体 → 二要素認証ではない(二段階認証)
- ICカード+ワンタイムパスワード → 所有+知識 → 二要素認証に該当
試験のポイント
- ・要は「二要素認証=知識・所有・生体から異なる2つ、二段階認証=同じ要素2回でもOK
- ・パスキー=パスワード不要・公開鍵暗号技術」
- ・チャレンジレスポンス=パスワードを送らず盗聴に強い方式も覚える
- ・生体認証のFRR(本人拒否率)とFAR(他人受入率)の区別が問われることもある
独学で診断士合格を目指すなら
過去問演習・AI添削・テキストPDFまで
すべて揃ったプレミアムプランで合格を掴む!
予備校代の1/10以下で、独学の不安をまるごと解決
- 📝1次試験 過去問演習(全7科目・年度別)無制限プレミアム限定
- 🤖2次試験 AI添削(事例I〜IV・無制限)最適なフィードバックで実力アッププレミアム限定
- 📄科目別テキストPDFダウンロード。印刷して好きな使い方で学習できるプレミアム限定
- 🔖ブックマーク機能で苦手分野・何度も確認したい部分を管理プレミアム限定
- 📊学習記録・成績管理で自分の進捗を可視化プレミアム限定
プレミアムプラン
¥9,800(税込)
自動更新なし / 1年間有効
決済は Stripe(PCI-DSS準拠)で安全に処理されます。カード情報は当サービスに保存されません。