認証・アクセス制御
まず結論
認証は「あなたは誰か」を確認し、アクセス制御は「あなたは何ができるか」を制限します。認証の3要素(知識・所持・生体)と多要素認証が試験の最重要テーマです。
認証の3要素(必須暗記)
🔑
知識情報
(Something You Know)
(Something You Know)
パスワード
PINコード
秘密の質問
PINコード
秘密の質問
📱
所持情報
(Something You Have)
(Something You Have)
スマートカード
ワンタイムパスワード
認証アプリ
ワンタイムパスワード
認証アプリ
👆
生体情報
(Something You Are)
(Something You Are)
指紋
顔認証
虹彩認証
顔認証
虹彩認証
多要素認証(MFA):上記3要素のうち2種類以上を組み合わせる → セキュリティが格段に向上
認証方式の種類
ワンタイムパスワード(OTP)
一度だけ使えるパスワード。時間ベース(TOTP)や回数ベース(HOTP)。SMSやアプリで生成。リプレイ攻撃に強い。
チャレンジレスポンス認証
サーバーが乱数(チャレンジ)を送り、クライアントがパスワードと組み合わせてハッシュ化(レスポンス)して返送。パスワードを直接送らない。
シングルサインオン(SSO)
一度ログインすれば複数のシステムを認証なしで使えるしくみ。利便性とアカウント管理の簡素化。
生体認証(バイオメトリクス)
指紋・顔・虹彩等で本人確認。知識や所持物の盗難リスクを排除できるが、変更不可のリスクあり。
アクセス制御の方式
| 方式 | 概要 | 特徴 |
|---|---|---|
| ACL(アクセス制御リスト) | リソースごとに許可/拒否を列挙 | 細かい設定が可能、管理が複雑になりやすい |
| RBAC(ロールベース) | 役割(ロール)ごとに権限を設定 | 人事異動に強い、管理しやすい(業務でよく使う) |
| MAC(強制アクセス制御) | セキュリティレベルでアクセス制限 | 軍・政府で使用。ユーザーが権限変更できない |
最小権限の原則:ユーザーやプログラムは業務に必要な最低限の権限のみを持つべき。権限の過剰付与は情報漏洩リスクを高める。
🎯 試験での出方
- 「認証の3要素の分類」→ 知識・所持・生体のどれかを当てる問題
- 「多要素認証の定義」→ 異なる種類の要素を2つ以上組み合わせる
- 「ワンタイムパスワードの特徴」→ 1回しか使えない、リプレイ攻撃に強い
- 「SSOのメリット」→ 1回の認証で複数システムにアクセス可能
⚠️ よくある間違い
- 「パスワード+秘密の質問は多要素認証」→ ✗ 両方「知識情報」なので1要素認証。異なる種類の組み合わせが多要素
- 「認証と認可の混同」→ 認証=誰か確認、認可=何ができるか許可(別概念)
- 「生体認証は変更できるので安全」→ ✗ 生体情報は流出しても変更不可。これが逆にリスク
✍️ 確認クイズ
Q1. スマートフォンアプリで生成されるワンタイムパスワードは認証の3要素のうちどれか。
✅ 正解は②。スマートフォン(アプリ)で生成されるOTPは「スマートフォンを所持していること」に基づく所持情報。パスワードと組み合わせると知識+所持の多要素認証になります。
Q2. 「パスワード+指紋認証」の組み合わせはなぜ多要素認証といえるか。
✅ 正解は②。多要素認証は「異なる種類」の要素の組み合わせが必要。パスワード(知識)+指紋(生体)は2種類を組み合わせているので多要素認証。パスワード2種類の組み合わせは多要素認証ではありません。
Q3. ロールベースアクセス制御(RBAC)の説明として正しいものはどれか。
✅ 正解は②。RBACは「営業職」「管理者」などの役割(ロール)に権限を設定し、ユーザーをロールに割り当てます。人事異動時はロールを変えるだけでOKなので管理が楽です。
Q4. チャレンジレスポンス認証の特徴として正しいものはどれか。
✅ 正解は②。チャレンジレスポンス認証はサーバーが乱数(チャレンジ)を送り、クライアントがパスワードと組み合わせてハッシュ化した値(レスポンス)を返します。パスワード自体をネットワーク上に流さないため盗聴に強い。毎回異なる値を送るのでリプレイ攻撃にも強い。
Q5. シングルサインオン(SSO)の主なメリットはどれか。
✅ 正解は②。SSO(Single Sign-On)は1回ログインすれば連携した複数のシステムへ追加認証なしにアクセスできます。ユーザーはパスワードを複数覚えなくてよくなり、管理者も一元管理できます。ただしSSOのアカウントが漏洩すると全システムへの不正アクセスにつながるリスクもあります。
Sponsor Link