DX時代に必要なセキュリティの知識～認証編～

デジタルトラン
スフォーメーシ
ョンの時代に必
要なセキュリテ
ィの知識
認証編
岸コウジロウ

はじめに
● SNSなどのアカウント乗っ取りが問題になる昨今…
え～
こわ～い

はじめに
岸が友人に「２段階認証しないといけないと」と言うと
帰ってきた答えは
だったりします。
え～
めんどくさ～い
● これを機に「認証って何なんだ？」とか仕組みを知って
これからの時代に必要な知恵を手に入れましょう
恥ずかしい写真
見られるかもし
れないのに？
預貯金が奪われ
てしまうかもし
れないのに？
友達や家族を被害に
遭わせてしまうかも
しれないのに？
大切なデータを
全て失うかもし
れないのに？

はじめに
なのに、友人に「２段階認証しないといけないと」と言うと
返ってきた答えは
だったりします。
え～
めんどくさ～い
● これを機に「認証って何なんだ？」とか仕組みを知って
これからの時代に必要な知恵を手に入れましょう

認証とは何か？ざっくり言うと…
● 認証とセットに認可という物があります。
通りたい
こういう
者です
誰だ？
あぁ、ぴえん君か
名簿に書いてるわ
通ってよし

● 認証とセットに認可という物があります。
通りたい
こういう
者です
誰だ？
あぁ、ぴえん君か
名簿に書いてるわ
通ってよし
本人確認を
含めた認証
やって良いか判定する認可

● ざっくり言うと
○ その人であると確かめるのが認証
○ その人がやって良いことか確かめて許可するのが認可
● 元々は２個イチで考えられてたけど、最近は他の人（システム）が認証してく
れて、その結果を以て許可をすることも多くなってきました
例）Googleアカウントで認証して、ゲームを楽しむなど
OK! いらっしゃ
いませ。
〇〇さん。

なぜ認証が必要か？
● 当たり前ですが認証せずに何でも許可しちゃうと大変な事になります。
その人だけの情報、その人だけができることを制限することが必要です。
● 他人がなりすましてログインすると、不正アクセス禁止法に問われることも。
さまざまな
個人情報
預金などの
資産
ぼ、僕の
情報が
GET

認証の種類
● 何かしらの対面窓口業務
免許証を出して「実物」で「写真の顔」などで認証
● 銀行のATM
キャッシュカードの「実物」と「暗証番号（4ケタ）」で認証
※認証とは異なりますが、ICカードにより偽造防止もやってます
● インターネットのサイト
「アカウント」と「パスワード」で認証
※メールアドレスの存在確認が認証の一部として使われることもありますが、
明確な認証とはならないでしょう（存在確認としてはあり）
● 金融やインフラ関連のサイト
「アカウント」と「パスワード」とSMS等の「ワンタイムパスワード」で認証
※OTPはSMS、OTPアプリ、ハードウェアキーなどがあります

認証の種類
● 何かしらの対面窓口
● 銀行のATM
従来のオフラインな認証
DX後のオンラインな認証

認証の種類
● 銀行のATM
従来のオフラインな認証
対面なので実物があり、顔認証や４ケタの暗証番号という
脆弱な要素やチェック方法でもある程度セキュリティが保たれる

認証の種類
● 銀行のATM
オンライン処理になり、またセンシティブ情報取り扱いが増えたこと
で、多要素認証などで情報源の確からしさを確認する必要性が高まっ
た

つまり
● DX前は現地に人が来て、物や見た目などで判断し、ある程度信頼をおける状態
で認証できていた
● DX後は多種多様な人、アカウント、デバイス、経路からアクセスされることを
前提とした仕組みが必要となる
さまざまな
個人情報
預金などの
資産
強化

参考
● セキュリティ強化するには暗号化暗号化～と聴きますが、通信の暗号化と情報
の暗号化があり、何に対する対策なのかは意識しておきましょう
ファイルを暗号化して、盗ま
れても開けないように
通信している内容を暗号化しやり
とり内容が読まれないように
もちろん保持中も
暗号化
データ入手したけ
ど見れない(T .T)
何やりとりしてる
かわからない(T .T)
門番がしっかりし
てて入れない(T .T)
内部犯行も取り出
せない(T .T)
マルウェアで暗号化
前の情報見よう(^ v^)
無理して見る必要
もないわな(^ v^)
接続元を詐称すれ
ば入れるぜ(^ v^)
標的型攻撃＆フィッシン
グで内部から崩そ(^ v^)

参考
● NWの世界でも昔は「接続元限定」し「通信を秘匿」すれば問題ないと言われ
ていたが、アクセス制御ではなく「確かなID検証」をシステムで用意するゼロ
トラストという考え方が浸透してきている
この通信は、ぴえん君から
しか来ないはずだからOK
覗き見もできないからね。
誰が来るかわからんのだか
ら、しっかり確認させても
らいますよ！
パソコン乗っ取れば
接続元限定も通信の秘匿も
何の意味もねーわ(^ v^)

要するに…
DX時代は”確かな検証”が重要で
認証時には情報の”確からしさ”を高める必要がある

確からしさを高めるための認証”情報”の種類
● 多要素の種類は大きく分けて３つあります
知識情報（知っていること）
所持情報（持っているもの）
生体情報（その人の特徴）
IDやパスワード、秘密の質問など
ICカード、OTP、スマホアプリ、USBトークン
SMS、e-mail、ボイスコールなど
指紋、顔、虹彩、静脈など
● 別カテゴリーの情報の組み合わせで認証することが重要とされています
※スマホ認証はSIMを通した通信自体でユーザを特定できることから、裏で多要素認証されてるケースもあります

確からしさを高めるためにやってきたイタチごっこ
● 初期
○ システム管理者： IDとパスワード自由に決めてね
○ 悪者：みんなパスワード「abcdef」とか「password」とかやし
リストにして順番にクラックしたろ（リスト型、辞書型）
● みんなパスワード簡単すぎるわ！ちゃんとして！
○ システム管理者： IDやパスワードは人に教えないように！
パスワードは8文字以上、複数の文字種で作って！
あと、定期的に変えて！
○ 悪者：まぁ、特定の誰かじゃないなら無作為ランダムで大量に試したらええわ
総当たり攻撃（ブルートフォース）やぁ～、パスワード変えても関係ないし
● IDが公開情報やからパスワード総当たりされるんや！
○ システム管理者：１IDに連続したエラーはロックかけるで！
○ 悪者：ほんだらパスワード固定で総当たり（リバースブルートフォース）するわ
● 接続元ごとにアタックを見抜くんや！
○ システム管理者：接続元のIPが同一の場合、連続NGは遮断するで！
○ 悪者：まぁ、プロキシ通したり、複数のIPからゆっくり攻撃させてもらいますわぁ
● 接続元の確からしさを高めるために多要素認証するんや！
○ システム管理者： SMS認証やメールアドレス認証導入や！
ログイン画面
ユーザID
PW
しかし、現物
が仮想化され
と、この方式
のであった…

二段階認証はセキュリティの専門家たちが
悪の組織と戦ってきたなかで見出した
現状取りうる最低限の対抗策であり
人類の叡智である

よく考えて！本当に面倒なの？
● 多要素認証が用いられるケースは、初回設定と重要な処理（決済など）だけじ
ゃないですか…。
恥ずかしい写真見
られるかもしれな
いのに？
預貯金が奪われて
しまうかもしれな
いのに？
友達や家族を被害に
遭わせてしまうかも
しれないのに？
大切なデータを全
て失うかもしれな
いのに？

問われているのは
企業のDX対応だけでなく
利用者のリテラシー向上も

DX時代に必要なセキュリティの知識～認証編～

Recommended

Recommended

More Related Content

More from kojirokishi

More from kojirokishi (9)

Recently uploaded

Recently uploaded (9)

DX時代に必要なセキュリティの知識～認証編～