認証

認証 とは †

• Authentication
• Certification

Authentication とCertification †

• Authentication
  • 二者間認証
    • 登録管理者と認証請求者との間で直接的に行われる認証
    • 登録管理者は認証者を兼ねる

• Certification
  • 三者間認証
    • 認証請求者と認証者との間に登録管理者が第三者として介入して間接的に行われる認証
    • 認証請求者の正当性は、登録管理者が発行する証明書の保有により証明される

認証に関連する機能 †

• 認可：リソースのアクセス権限の識別（Authorization）
  • アクセス許可/拒否（Access Control）
  • 委託（Delegation）

認証の分類 †

認証の対象 †

• 人
  • 本人確認
• 物
• 情報
  • メッセージ認証

エンティティ認証 †

• ユーザ認証
• クライアント認証
• サーバ認証

認証の手段(本人確認)・認証の3要素（Something You ..） †

• 知識認証（Know）
  • KBA（Knowledge Based Authentication）
  • 本人しか知らないことを証明する。
  • 記憶認証、ナリッジベース認証

• 所有認証（Have）
  • 本人が所持していることを証明する。

• 生体認証（Are）
  • 備える要素。本人の生物学的な要素を使って証明する。

認証要素とは †

• 認証時に本人のみが使うことができる要素。

認証方式 †

• HTTP認証
• フォーム認証
• クライアント認証

HTTP認証 †

• RFC2617
• Basic認証
• Digest認証

フォーム認証 †

• HTMLフォームにユーザIDとパスワードを入力する
  • セッション管理
    • Cookieが使える場合はCookie
    • 携帯端末などCookieが使えない場合は端末ID

クライアント認証 †

• TLSクライアント証明書を使う

他システムを絡めた認証 †

統合認証 †

• 「統合認証」参照

連合認証 †

• シングルサインオン（SSO）
• .Net Passport -Microsoft

外部システムでの認証 †

• ソーシャルログイン（SNS認証）

• 分散認証
  • ブロックチェーンを使った認証
    • Hyperledgerを活用
    • 楽天、セコムトラストシステムズ、ソラミツ

リスクベース認証 †

• 「リスクベース認証」参照
  • アダプティブリスク認証
  • デバイスプリント認証

認証関連のプロトコル †

• SAML
• OpenID
• OpenID Connect
• Financial API
• OAuth
• SCIM -System for Cross-domain Identity Management
• EAP
• PPP

リモート環境においてユーザの認証と利用記録を一元的に行うシステム †

• RADIUS
• TACACS

ユーザを認証するシステム・仕組み †

• Kerberos

ディレクトリサービス †

• LDAP

認証関連のミドルウェア †

• IBM Security Access Manager
• Keycloak
• OpenAM
• OpenSSO
• Vault
• Amazon Cognito

電子メールの認証 †

• SASL -Simple Authentication and Security Layer
• 送信ドメイン認証
  • SPF -Sender Policy Framework
  • DKIM -DomainKeys Identified Mail
  • DMARC -Domain-based Message Authentication, Reporting and Conformance

認証ログ †

認証ログに記録する情報 †

• 認証発生日時
• ユーザのID
• 認証結果（成功/失敗）
• アクセス端末の識別情報（IPアドレス/MACアドレス/UID）
• セッションID（認証成功時のみ）
• 認証失敗理由（認証失敗時のみ）

認証ログの管理 †

• 監査まで削除せずに保管する。（年度単位の場合、最低１年間）
• 削除や改竄を防止するための処置。（管理者のみ参照・変更できる状態で保管）

HTTP †

• HTTP Status 401 Unauthorized
  • 認証の失敗
  • 「認証」の失敗なのに「authorize」(認可)

認証保証レベル †

• AAL
  • Authenticator Assurance Level
• NIST SP800-63-3

参考情報 †

• RFC2617
• OWASP Guide -A Guide to Building Secure Web Application and Web Services
• JIS X 0036-1:2001 -ITセキュリティマネジメントのガイドライン

関連サイト †

• 認証にまつわるセキュリティの新常識 (2018.11.27)
  https://speakerdeck.com/kthrtty/ren-zheng-nimatuwarusekiyuriteifalsexin-chang-shi

• 一般社団法人 ID認証技術推進協会(JICSAP)
  https://www.jicsap.com/

• ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 - Google Cloud
  https://cloud.google.com/blog/ja/products/identity-security/account-authentication-and-password-management-best-practices

• Webサービスにおけるログイン機能の仕様とセキュリティ観点 (2022.1.25) - Flatt Security Blog
  https://flattsecurity.hatenablog.com/entry/login_logic_security

• サインインフォームのベストプラクティス - web.dev (Google Developers)
  https://web.dev/i18n/ja/sign-in-form-best-practices/

関連用語 †

• 3Dセキュア
• AAAフレームワーク
• Attestation -アテステーション
• BYOI -Bring Your Own Identity
• CAAC -Context-Aware Access Control
• CA -認証局
• CHAP -チャレンジ・レスポンス認証
• CIBA -Client Initiated Backchannel Authentication
• HMAC -Hash-based Message Authentication Code
• NTLM認証
• IAM -Identity and Access Management
• ID管理
• ID連携 -フェデレーション
• IDaaS
• JPKI -公的個人認証サービス
• JWT -Json Web Token
• KYC -Know Your Customer
• LoA -Level of Assurance
• Mutual認証
• NSS
• NTLM認証
• Okta
• PAM -Pluggable Authentication Module
• Pass the Hash攻撃
• RBAC -Roll Based Access Control
• Sxip
• アカウンティング
• アウトオブバンド認証 -OOB認証
• 時刻認証
• サインアップ
• サインイン
• サインオン
• 真正性
• 多要素認証
• デジタル署名
• トークン
• 認証器
• 認証トークン
• パターン認証
• パターンロック認証
• リプレイ攻撃
• ルックアップトークン -ビンゴカードのような乱数表
• ログアウト
• ログイン