このエントリーをはてなブックマークに追加 LINEで送る

ISOの1つに、クラウドサービスに特化した規格のISO27017があります。

そのISO27017をベースとした「ISMSクラウドセキュリティ認証制度」が開始されてから、約1年が経ちました。

2017年8月16日の時点で21の組織が認証を取得しています。

クラウドサービスにおいては、情報セキュリティ対策として、次のようなことをする必要があるとされています。

  1. データのバックアップ管理
  2. ハードウェア機器の管理
  3. OS,ソフトウェア,アプリケーションなどの脆弱性管理
  4. 不正アクセス防止
  5. アクセスログ管理
  6. 通信の暗号化

また、近年では不正アクセス防止の対策として、二要素認証システムを取り入れるサービスが増えています。

そこで今回は、認証システムについてご紹介したいと思います。

二要素認証

従来の認証システムでは「ID+パスワード」の一要素認証が用いられてきました。

二要素認証では以下の三つの要素から二つの要素を含んだ認証によってユーザー確認を行う仕組みです。

  • 本人だけが知っていることによって確認
  • 本人だけが所有しているものによって確認
  • 本人の特性(静脈や指紋などの生体信号)によって確認

次からは具体的な認証方法について解説していきます。

パスワード認証

あらかじめ登録したパスワードとIDの組み合わせによる認証です。

basic認証

WebサーバがWebブラウザなどからアクセスの制限された領域への送信要求を受けた際に、エラーコード401を返信し、ブラウザ側で認証情報の送信を要求します。

そこから、ブラウザが利用者に認証情報を求め、Webサーバに送り、サーバ側で保存された情報と照合しアクセスを承諾もしくは拒否するものです。

最も簡易で基本的な方式ですが、認証情報が暗号化やハッシュ化などはされていません。

現在では、認証情報をハッシュ化して送受信する方式のDigest認証やSSL/TLSによる通信経路の暗号化を併用して用いられることが多いです。

クライアント認証

アクセスしたユーザーが提示する証明書をウェブサーバが検証し、アクセスを許可するか判断する認証です。

クライアント認証を利用するには、独自の認証局を構築し、発行した証明書を各ユーザーに配布します。

配布した証明書を所持する特定ユーザーだけがサイトを利用することができます。

ワンタイムパスワード認証

登録したメールアドレスや機器に送信されたワンタイムキーを入力し認証する方法です。

ワンタイムキーは一度しか使えないことや使用できる時間等、様々な制限があります。

乱数表認証

あらかじめ、ユーザーごとに異なる乱数表を配布しておき、アクセスする際に指定された行/列の組み合わせを入力し認証する方法です。

要求される組み合わせは認証ごとに異なるため、盗難対策に有効とされています。

まとめ

様々な認証システムがありますが、一概にどれが最も有効な手段であるとは言えません。

提供するクラウドサービスにおいてどれが適しているかをよく検討し、不正アクセスがされないようなシステム構築を行いましょう。

ISO27017/27018認証取得コンサルティング
このエントリーをはてなブックマークに追加 LINEで送る
カテゴリー: 情報セキュリティ

クラウドサービスの不正アクセス対策 ~認証システム~

ISOの1つに、クラウドサービスに特化した規格のISO27017があります。

そのISO27017をベースとした「ISMSクラウドセキュリティ認証制度」が開始されてから、約1年が経ちました。

2017年8月16日の時点で21の組織が認証を取得しています。

クラウドサービスにおいては、情報セキュリティ対策として、次のようなことをする必要があるとされています。

  1. データのバックアップ管理
  2. ハードウェア機器の管理
  3. OS,ソフトウェア,アプリケーションなどの脆弱性管理
  4. 不正アクセス防止
  5. アクセスログ管理
  6. 通信の暗号化

また、近年では不正アクセス防止の対策として、二要素認証システムを取り入れるサービスが増えています。

そこで今回は、認証システムについてご紹介したいと思います。

二要素認証

従来の認証システムでは「ID+パスワード」の一要素認証が用いられてきました。

二要素認証では以下の三つの要素から二つの要素を含んだ認証によってユーザー確認を行う仕組みです。

  • 本人だけが知っていることによって確認
  • 本人だけが所有しているものによって確認
  • 本人の特性(静脈や指紋などの生体信号)によって確認

次からは具体的な認証方法について解説していきます。

パスワード認証

あらかじめ登録したパスワードとIDの組み合わせによる認証です。

basic認証

WebサーバがWebブラウザなどからアクセスの制限された領域への送信要求を受けた際に、エラーコード401を返信し、ブラウザ側で認証情報の送信を要求します。

そこから、ブラウザが利用者に認証情報を求め、Webサーバに送り、サーバ側で保存された情報と照合しアクセスを承諾もしくは拒否するものです。

最も簡易で基本的な方式ですが、認証情報が暗号化やハッシュ化などはされていません。

現在では、認証情報をハッシュ化して送受信する方式のDigest認証やSSL/TLSによる通信経路の暗号化を併用して用いられることが多いです。

クライアント認証

アクセスしたユーザーが提示する証明書をウェブサーバが検証し、アクセスを許可するか判断する認証です。

クライアント認証を利用するには、独自の認証局を構築し、発行した証明書を各ユーザーに配布します。

配布した証明書を所持する特定ユーザーだけがサイトを利用することができます。

ワンタイムパスワード認証

登録したメールアドレスや機器に送信されたワンタイムキーを入力し認証する方法です。

ワンタイムキーは一度しか使えないことや使用できる時間等、様々な制限があります。

乱数表認証

あらかじめ、ユーザーごとに異なる乱数表を配布しておき、アクセスする際に指定された行/列の組み合わせを入力し認証する方法です。

要求される組み合わせは認証ごとに異なるため、盗難対策に有効とされています。

まとめ

様々な認証システムがありますが、一概にどれが最も有効な手段であるとは言えません。

提供するクラウドサービスにおいてどれが適しているかをよく検討し、不正アクセスがされないようなシステム構築を行いましょう。

Author: 平山 倫太郎
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする

訪問回数制限なしでサポートします。ISMS/ISO27001の認証取得をお考えの方はこちら

情報セキュリティに関する最新情報を随時配信中。メールマガジン登録(無料)