1.認証の3つ(本人認証、メッセージ認証、時刻認証)
セキュリティ対策の基本として、暗号と並んで重要なのが認証です。情報処理安全確保支援士試験でももちろん大事なので、まずは全体像から理解していきましょう。
認証は、認証する対象が何かによって、以下の3つがある。
(1)本人(利用者)認証
例えば、システムを利用する人が本人であるかをパスワードを使って認証する
(2)メッセージ認証
例えば、メッセージが改ざんされていないかをMAC(message authentication code)を使って認証する。
(3)時刻認証
例えば、その時刻に存在したことをタイムスタンプを用いて認証する。
メールを例にとろう。
メールの送信者を認証するのが①、
メール本文が改ざんされていないかの認証が②、
メールを保存したりする場合に、その時刻を記録しておくのが③である。
▼認証の3つ
情報処理安全確保支援士試験で最も重要なのは、①の本人認証です。ですが、②や③も出題されています。
2.「本人認証」3つの方式
本人認証には、知識認証と所有物認証、生体認証がある。
認証のレベルは後者になるにつれて上がる。以下に整理する。
| 認証の方法 | 利用者確認の方法 | セキュリティレベル | 利用者確認方法の例 |
| 知識認証 What you know? |
本人だけが知っている「知識」で認証する | 知識ベースなので、その知識を知っていれば誰でもなりすましが可能である。 | ・ID/パスワード ・合言葉「山」「川」 ・スマホのパターンロック |
| 所有物認証 What you have? |
本人だけが持っている「所有物」で認証する | 所有物を盗まれた場合になり済まされる可能性があるが、知識ベースと違って所有物を持った人だけがなりすまし可能になる。 | ・電子証明書 ・ワンタイムパスワード用のトークン ・MACアドレス |
| 生体認証 What you are? |
本人だけにある「生体情報」で認証する | 身体的な特徴を元にするので、盗まれることや貸し借りをすることが基本的にできない。 | ・指紋認証 ・静脈パターン認証 ・虹彩認証 ・声紋認証 ・顔認証 ・網膜認証 |
実際には、これらを組み合わせた認証も増えていますよね。
たとえば、銀行ATMの場合、カード(所有物認証)とパスワード(知識認証)の2段階での認証です。
その通り。複数の認証を組み合わせることで、セキュリティレベルが高くなる。
最近では、指紋認証(生体認証)も普及しているね。
また、これらの認証技術でセキュリティを保つだけでなく、パスワードを数回間違えたら、利用できなくなるなどの、他の仕組みも組み合わせてセキュリティを高めている。
■情報処理安全確保支援士試験の過去問(H28秋SC午後Ⅱ)を見てみましょう。
| Nさん:パスワードを用いる利用者認証では,ログインする人の[ a ]を確認していました。認証カードを利用する利用者認証では,認証カードの[ b ]を確認することになりますね。 R主任:そうだね。加えて,認証カードの利用時にPINを入力させることで,2種類の方法を組み合わせた[ c ]認証にすることができる。ただし,①認証対象者が不適切な行為をすると,その効果は望めない。 Nさん:認証カードを導入すると,利用者IDとパスワードを使わなくなるので,②問題点は解決しますね。 設問1(1) 本文中の に入れる適切な字句を答えよ。(実際は選択式) (2)本文中の下線①について, R主任が想定している不適切な行為を, 35字以内で具体的に述べよ。 設問2 (オリジナル問題)下線②に関して、利用者IDとパスワードを使わなくなることによって、どんな問題点が解決するか |
設問1
(1)解答は以下ですが、選択式で選ぶことができれば正解と考えてください。たとえば、cであれば、二要素としても意味は同じです。二段階では不正解です。(PWを2回入れるのは意味が違うので)
【解答例】 a 記憶 b 所持 c 複数要素
(2)
【解答例】 認証対象者が、認証カードとPINを他人に又貸しして使わせる行為
設問2
例として、以下があります(問題文の記述より)
・自身の利用者IDとパスワードを紙に書いてPCに貼り付けているケース
・利用者IDとパスワードを,他人に教えたケース
その他、簡単なパスワードを設定する、なども該当するでしょう。
3.メッセージ認証
復習ではあるが、認証には、①本人(利用者)認証、②メッセージ認証、③時刻認証の3つがある。
メッセージ認証は、メッセージ(文章)を認証するという意味。
(1)メッセージ認証の目的
まず、メッセージ認証の目的から整理しよう。
| 問41 メッセージ認証符号におけるメッセージダイジェストの利用目的はどれか。 ア メッセージが改ざんされていないことを確認する。 イ メッセージの暗号化方式を確認する。 ウ メッセージの概要を確認する。 エ メッセージの秘匿性を確保する。 (H23秋FE午前) |
正解はアだ。
メッセージ認証には、MAC(message authentication code)を使う。これは、ディジタル署名と同じように、メッセージにハッシュをつけて送ることで、改ざんがされていないかがわかる。
(2)メッセージ認証の仕組み
メッセージ認証に関する違う過去問で確認する。
| 問73 公開鍵基盤とハッシュ関数を利用したメッセージ認証の手法はどれか。 ア 受信者は,送信者の公開鍵とハッシュ関数を用いてハッシュ値を復号し,メッセージを得る。 イ 受信者は,ハッシュ関数を用いてメッセージからハッシュ値を生成し,送信者の公開鍵で復号したハッシュ値と比較する。 ウ 送信者は,自分の公開鍵とハッシュ関数を用いてメッセージからハッシュ値を生成し,メッセージとともに送信する。 エ 送信者は,ハッシュ関数を用いて送信者の秘密鍵のハッシュ値を生成し,メッセージとともに送信する。 (H18秋SW午前) |
正解はイ
4.時刻認証
まず、情報処理安全確保支援士試験の過去問(平成25SC春午後Ⅱ問2)を見てみよう。
| Jさんが検討したところ,TSA (Time Stamping Authority)が発行するタイムスタンプを付与すれば,タイムスタンプの有効期間中は,電子ファイルが[ e ]及び[ f ]を証明可能であることが分かった。 設問5(1)本文中の[ e ],[ f ]に入れる証明可能なことを,それぞれ30字以内で述べよ。 |
正解は、以下である。
e タイムスタンプの時刻に存在していたこと
f タイムスタンプの時刻以降に改ざんされていないこと
また、違う過去問(H22SC秋AMⅡ問2)では、タイムスタンプの効果として、「電子文書がタイムスタンプの時刻以前に存在したことを示し、作成者が、電子文書の作成を否認することを防止する」と述べられている。
※電子署名だけでは「その時点に存在した」ことが確保されない。
過去問(H17年SU午後Ⅱ問1)詳細な説明があるので、そこからポイントを引用する。理解を深めるためには、この問題に是非チャレンジしてほしい。
①用語の整理
・TSA(Time Stamp Authority):タイムスタンプ機関
・タイムスタンプトークン:電子データのハッシュ値に時刻情報を連結し、電子署名を付与した時刻証明情報
②処理の流れ
(i)電子データのハッシュをTSAに送付する。
[電子データ]→HASHする→[電子データHASH]・・・これをTSAに送付する。
(ii)TSAでは、電子データのHASHに時刻情報を付加して電子署名をする。
【[電子データのHASH]+時刻情報】+電子署名
※電子署名の中身は、【[電子データのHASH]+時刻情報】のハッシュをTSAの秘密鍵で暗号化したもの。
できあがったものは、タイムスタンプトークンと呼ばれる。
③タイムスタンプトークンの検証
タイムスタンプトークンの中身である【[電子データのHASH]+時刻情報】が改ざんされていないかを確認する。そのために、電子署名をTSAの公開鍵で復号する。内容が一致すれば、改ざんされていないことが検証される。
せっかくなので、設問もみてみよう。
| 設問5 (1)公開かぎ証明書の有効期間が過ぎた後でも,領収書の保存期間内であれば,領収書に付与されたタイムスタンプを確認できる。どのような方法で確認すればよいか。50字以内で述べよ。 (2)設計書に付与されたタイムスタンプを,必要なときにいつでも検証可能にするには,どのような条件で,どのような処置を施すことが必要か。ルート証明書はいつでも入手できるものと仮定して,80字以内で述べよ。 (H17秋SU午後Ⅱ問1) |
正解は以下であるが、問題文を読まないと解くのは難しいだろう。
一度チャレンジしていただきたい。
(1)タイムスタンプ機関に,タイムスタンプトークンが存在し,改ざんされていないことを証明してもらう。
(2)認証パスを構成する証明書の有効期限が切れる前に,関連するすべての証明書と失効情報を集め,タイムスタンプトークンとこれらに新たなタイムスタンプを付与する。
5.オンラインバンキングの認証
情報処理安全確保支援士試験の過去問(H26年SC春午後1問3)では、オンラインバンキングの認証について整理されている。
ちなみにマルウェアJは、「Webインジェクト(Webインジェクション)」と言われる攻撃で、マルウェアKはMITB攻撃である。
|
項番 |
セキュリティ対策
|
マルウェアJの感染に起因する不正送金への対策としての評価 |
マルウェアKの感染に起因する不正送金への対策としての評価 |
|
1 |
利用者ID ・ パスワード認証 |
対策にならない |
対策にならない |
|
2 |
クライアント証明書による認証 |
対策になる |
対策にならない |
|
3 |
乱数表による認証 |
対策にならない |
対策にならない |
|
4 |
ワンタイムパスワード認証 |
対策になる |
対策にならない |
|
5 |
リスクベース認証 |
対策になる |
対策にならない |
|
6 |
送金内容認証 |
対策になる |
対策になる |
※ただし、項番5はマルウェアJにて、その内容を入力させられる可能性があり、対策になるというのは限定的であると感じる。
それぞれの詳しい内容は、過去問を見てほしい。
オンラインバンキングの被害で、1千万円以上が盗まれたケースもあるようです。丁寧な対策により、自分の身を守っていくしかないようですね・・・
http://www.nhk.or.jp/gendai/articles/3626/1.html
6.余談
(1)インターネットで申し込む際の複雑な手続き
インターネットで申し込みををすると、確認メールが来たりなにやらで面倒である。本当に意味があるのでしょうか。
BitCashを例にすると、いろいろなやりとりがある。
例えば、すぐに申し込みができず、確認メールが送られてきて、そこから申込みがスタートする。
書いたメールアドレスにメールが送られ、そこから購入手続きが始まる。メールはフリーメールのアドレスでも可能なものがほとんど。
恐らくこれは、手順を複雑にすることで、SAPM的な登録を排除するためだと思う。利用者のセキュリティを保護するものではないだろう。
生年月日を入れさせるのは?
生年月日は恐らく偽装でも可能。だが、あとで生年月日を聞かれることがある。適当に入力していると忘れてしまうので、あるいみ「嘘をつかずにきちんと入れた人しか認証しません」というメッセージになっていると思う。
また、上限額がある。
・同じメールアドレスで、連続での購入も禁止されている。
・購入金額は上限が1万円であり、ネットから購入する場合の不正購入の被害が抑えられるような対策になっていると考えられる。
なりすまし対策は何かしてますか?
利用のカード会社の「本人認証サービス」にご登録する必要あり
これは貴重ななりすまし対策である。
カード情報は、BitCashに行っていると思う。ただ、本人認証はカード会社に直接行っているので、セキュリティは高くなっている。
(2)Facebookのなりすまし
Facebookには芸能人になりすますなどの大量のなりすましが存在する模様。本人確認の方法が特になく、自己申告であるため、やむを得ないであろう。
また、伊藤理佐さんが大量にいるとか。
それと、Facebookで、知らない人が私の情報知っているのにびっくりしました。
友達になった人だけが知っているかと思ったら、そうではなかったのです。
セキュリティ設定をきちんと設定していれば問題なかったと思う。
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「Facebook では、各ユーザが個人情報の公開範囲をコントロールするため、適切な設定をしていないと意図せず個人情報が公開される恐れがある。」と述べられている。本人が注意して活用する必要がある。