プライバシー & Cookies
このサイトではCookiesを使用しています。 続行することで、その使用に同意したことになります。 Cookieのコントロール方法など、詳しくはこちら
またまた遭遇してしまいました。 2 つのユーザー識別子とパスワードが 2 要素認証を構成し、PCI DSS 要件 8.3 を満たしていると考えている別の組織です。 インターネット上で利用可能なすべてのドキュメントがあるため、このトピックは十分にカバーされていると思われるでしょう。
3つの認証要素の定義について説明します。
- 1要素認証 – これは、「ユーザーが知っていること」です。
- 二要素認証 – 第1の要素に加え、第2の要素は “ユーザーが持っているもの “です。 ユーザーが持つものの例としては、あらかじめ決められたコードを生成するフォブ、署名されたデジタル証明書、あるいは指紋のような生体認証があります。 8371>
- 三要素認証 – 前の 2 つの要素に加え、第 3 の要素は「ユーザーが持っているもの」です。 第3の要素の例としては、ユーザーの声、手の形、指紋、網膜スキャンなど、すべてバイオメトリクスです。 8371>
前述の定義で注目すべき重要な点は、2 つのパスワードまたはパスフレーズ、2 つの指紋、または 2 つの網膜スキャンの使用については、どこにも言及していないことです。 同じ要素を 2 つ使用することは、多要素認証と見なされ、前述のどの定義にも関係しません。 つまり、2つの異なるユーザー識別子とパスワードを使用している人は、2要素認証ではなく、多要素認証を使っていることになります。 PCI DSSの要件8.3は非常に具体的で、2ファクタ認証またはそれ以上の認証が必要です。
もう1つ言及すべきことは、セキュリティ純粋主義者は、第2要因にバイオメトリクスを使用することは第3要因の規則に違反すると主張することです。 しかし、他のセキュリティ専門家は、ユーザーが持っているもの、またはユーザーであるものは、トークンまたはバイオメトリックのようなものである可能性があると言います。 彼らの論理では、ユーザーは指紋や網膜を持っているのだから、どちらの要素にも該当する。 重要なのは、特定のバイオメトリクスを一度だけ使うことです。 つまり、2 番目の要素に指紋を使用する場合、3 番目の要素に指紋を使用することはできません。
最後に、明白ではありますが、多くの人がこの点を見逃しています。 1 要素は 2 要素よりも安全性が低く、3 要素認証よりも安全性が低くなります。 しかし、ユーザーがパスワードやパスフレーズを適切に作成し、ログオンを制限している場合、1 要素認証はセキュリティ侵害に対してかなり有効であり、おそらく 90% の範囲に収まるでしょう。 二要素認証は、通常、その有効性を97〜98%程度まで高めることができます。 3ファクタ認証は、おそらく6シグマレベルの有効性をもたらします。 ただし、3ファクタ認証でも99.9999%の有効性しか得られません。 繰り返し指摘しているように、セキュリティは完璧ではありません。
多くの人は、2 要素認証を定期的に使用しているという事実を認識していません。 ATM を使用するためには、カード(持っているもの)と 4 桁の個人識別番号または PIN(知っているもの)が必要です。 また、最近よくある例では、安全な施設に入るには、HIDアクセスカードを使い、キーパッドにPINを入力しなければドアが開きません。 ここで注意しなければならないのは、これらの要素がどのような順番で使用されるかは重要ではないということです。 ATM とエントリーの例では、最初にカード (所有しているもの) をスワイプし、次に PIN (知っているもの) を入力します。
2 番目の要素がユーザーが所有しているものだからといって、ユーザーがそれを所有していることを知らなければならないということではありません。 典型的な例は、デジタル証明書の場合です。 多くの組織が、二要素認証を提供するために、VPN ソフトウェアとともにデジタル証明書を発行しています。 ほとんどのユーザーは、VPN を機能させるために電子証明書が必要であることに気づいていません。 電子証明書は、通常、ユーザーまたはコンピュータに結び付けられ、VPN ソフトウェアのインストールの一部としてインストールされます。 電子証明書の存在をユーザーが認識する唯一の方法は、電子証明書が破損したり、古くなったりして、VPNに接続しようとしたときにエラーが発生する場合である。 (注意: 2017年の協議会の多要素認証情報補足では、PCI準拠の2要素認証を満たすために、ここで説明したようなデジタル証明書の使用は認められませんでした。)
もう1つの重要なポイントは、使用するのがHIDアクセスカードだけというケースでは、1要素認証を使っていることになるということです。 因子の定義は、学習しやすく覚えやすいように設定されています。 しかし、どの要素も単独では一要素認証となります。 各要素を組み合わせて使用することで、2要素認証、3要素認証となります。 このように、すべての要素を組み合わせて使用することで、漏洩の可能性を低くすることができます。 例えば、多くのスパイ映画では、超高セキュリティの部屋に入るには、IDカード、PIN、網膜スキャン、パスフレーズを入力する必要がある、というシーンがあります。 これは 4 要素認証の例ではなく、2 つのバイオメトリクス要素を使用した 3 要素認証です(つまり、多要素)。
最後に、ほとんどの人が話したがらないが、考慮することが重要なバイオメトリクス要素の使用におけるリスクがある。 人は常に事故に遭います。 指は切られ、あるいは切除されます。 手は折れたり傷ついたりします。 目も傷つく。 人は声を失います。
認証のさまざまな要素について理解し、それらがどのように使用されるかを理解していただけたでしょうか。