認証プロトコルの基礎知識:定義、タイプ、使用すべき状況

Oktaのクラウドベース認証では、生体認証やプッシュ通知などの使いやすい要素により、高い信頼性をユーザーに提供しています。

認証とは、ユーザーが本人の主張どおりの人物であることを確認するプロセスです。認証プロトコルは、そのタスクを実行するために使用する方法です。

認証プロトコルは複数ありますが、絶対的に確実なものはありません。ハッキングやデータ窃取のリスクを軽減するためには、方法を慎重に選択する必要があります。

認証プロトコルとは?

認証プロトコルを使用すると、受信側(サーバーなど)が別の当事者(モバイルデバイスを使用してログインするユーザーなど)のアイデンティティを検証できます。ほとんどすべてのコンピューターシステムは、ユーザーを検証するために何らかのネットワーク認証を使用しています。

重要な情報が電子的に保存されるようになり、ハッカーの窃取スキルが向上するのに伴って、認証の重要性が増しています。認証がなければ、損失は拡大していくでしょう。たとえば、Deloitteは2017年にデータ侵害を受け、クライアントのメール(政府機関に関連するものを含む)が漏えいしました。認証を使用しても、情報の安全性を完璧に保つことはできないかもしれませんが、窃取を困難にできる可能性があります。ハッカーは、サーバーに侵入するのが難しすぎると判断すれば、別のターゲットに移る可能性があります。

認証プロトコルのタイプ

IT管理者は、さまざまなオプションを利用できます。ここではその一部を紹介しますが、他にも多くのオプションがあります。

企業が使用する最も一般的な5つの認証方法は次のとおりです。

  1. Kerberos:Windows環境で作業する場合に使用するプロトコルです。システムは、一元化されたキー配布センターから取得される対称キーに依存します。Kerberosは高いレベルの保護を提供しますが、完璧ではありません。たとえば、2020年には、システムの更新後にKerberosが動作を停止するというイベントが発生しました。
  2. LDAP最近のブログで説明したように、企業はユーザー名、パスワード、メールアドレス、プリンター接続、その他の静的データをディレクトリに保存します。LDAPは、そのデータへのアクセスと維持のための、ベンダー中立的なオープンなアプリケーションプロトコルです。
  3. OAuth 2.0:別のサイト(Facebookなど)からのログインを使用して新しいサイト(The New York Timesなどにアクセスするときに使用されます。アプリケーションがユーザーに代わってリソースを取得するため、ユーザーは資格情報を共有する必要はありません。GitHubで2020年に発生したように、このシステムもハッキングされる可能性があります。 
  4. RADIUS(リモート認証ダイヤルインユーザーサービス):ユーザー名とパスワードを入力すると、RADIUSシステムはその情報をデータベース内のデータに照合して検証します。
  5. SAML:XMLベースのプロトコルであり、IdPとサービスプロバイダーの間で認証データを交換します。

さらに、以下の5タイプも知っておくべき認証プロトコルです。

  • CHAP(チャレンジハンドシェイク認証プロトコル):このシステムは、同じセッション内であっても、定期的にユーザーを再認証します。各チャレンジは、前のバージョンとは異なります。
  • DIAMETER:認証メッセージとアカウンティングメッセージのフレームワークを提供します。これはRADIUSから派生したプロトコルであり、RADIUSを改善したものと考えられています。
  • EAP(拡張認証プロトコル):ワイヤレスネットワークとポイントツーポイント接続は、多くの場合にEAPに依存しています。
  • PAP(パスワード認証プロトコル):ユーザーがユーザー名とパスワードを送信し、システムがこれらをデータベースに照合します。
  • TACACS:このシステムを介して、IPベースの認証を実現します。このプロトコルのそれ以降のバージョンには暗号化が含まれています。

認証プロトコルの選択方法

多くのオプションの中から自社に適切なバージョンを選択するには、どうしたらよいのでしょうか。

自社について、以下の点を考えてください。

  • アプリケーションのニーズ:どのシステム/リソースがアクセスを必要とするか?それらの重要度や機密度はどの程度か?
  • インフラストラクチャ:既存のシステムをオーバーホールせずに使用開始できるプロトコルはどれか?
  • 労力:開始する前に、どのくらいのトレーニングまたはプログラミングが必要か?
  • 将来:システムは自社の成長や変化に対応できるか?

参考文献

When Two-Factor Authentication Fails:Rethinking the Approach to Identity Security(2018年2月、Forbes

Windows Kerberos Authentication Breaks Due to Security Updates(2020年11月、Bleeping Computer) 

Hackers Stole GitHub and GitLab OAuth Tokens From Git Analytics Firm Waydev(2020年7月、ZDNet)