システム基盤統合化の波は生体認証とともに認証システムの“決定打”、生体認証【前編】

アクセスセキュリティにおいて、永遠の課題といえるのが本人認証だ。その唯一の実現方法となる生体認証が、システム基盤再構築ブームの中であらためて注目を集めている。生体認証とその裏に隠れる問題を明らかにする。

2008年04月16日 08時00分 公開
[坂元淳一,ディー・ディー・エス]

 企業ITシステムでは、PCローカル、ネットワーク、基幹システム、アプリケーションなど、ほとんどのレイヤーで「認証」を必要としている。昨今の企業情報漏えい事件における約80%が社内から発生していることを考えれば、システムを利用する権限を管理し、認証を行うアクセスセキュリティ対策はコーポレートガバナンスのいろはの“い”ともいえる。

 アクセスセキュリティの礎である認証は多くの場合、あらかじめ利用を許可されたユーザーを認証するもので、多くの認証システムでユーザーIDとパスワードによる認証を採用している。しかし、ID/パスワードは単純な文字列の情報であり、セキュリティレベルを維持することは困難だ。ユーザーは利用するシステムごとにID/パスワードを覚え、管理し、認証ごとに入力しなければならない。その際、例えば備忘として付せんにID/パスワードを記入するといったユーザーの不用意な管理が原因となりID/パスワード情報自体が漏えいしてしまうなど、不正アクセスや情報流出を引き起こす問題ともなっている。

 こうしたID/パスワードの脆弱性の問題を打破するために広く採用されているのが、ICカードやトークンなどによるデバイス認証だ。デバイス認証は文字列の認証情報であるID/パスワードとは異なり、物理的にデバイスが認証情報を格納しているため、ユーザーの管理負担は飛躍的に軽減され、同時に認証情報自体が漏えいする可能性も低くなる。さらに、デバイス認証にOTP(One Time Password)やPKI(Public Key Infrastructure)などの強いクレデンシャル(パスワードや暗号鍵などユーザーの本人性を証明する情報)を複合するソリューションは、高いセキュリティレベルを実現する。しかし、デバイスそのものの紛失・貸し借りなどにより、クレデンシャルがデバイスごと本人以外の第三者の手に渡った結果、不正アクセスを許してしまうという脆弱性は否めない。つまり、“なりすまし”を防ぐことはできないのである。

 こうしたアクセスセキュリティにおける共通の大きな課題ともいえるのが本人認証である。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news079.jpg

CMOが生き残るための鍵は「生産性」――2025年のマーケティング予測10選【中編】
不確実性が高まる中でもマーケターは生産性を高め、成果を出す必要がある。「Marketing D...

news023.jpg

世界のモバイルアプリ市場はこう変わる 2025年における5つの予測
生成AIをはじめとする技術革新やプライバシー保護の潮流はモバイルアプリ市場に大きな変...

news078.png

営業との連携、マーケティング職の64.6%が「課題あり」と回答 何が不満なのか?
ワンマーケティングがB2B企業の営業およびマーケティング職のビジネスパーソン500人を対...