私は情報システムのセキュリティを担当している城咲子です。
セキュリティの分野には、CCSP(Certified Cloud Security Professional)のように専門用語がたくさん出てきますよね。「認証(Authentication)」という言葉もその一つで、なんとなく分かっているようで、いざ説明しようとすると難しいと感じる方も多いのではないでしょうか。
「あるエンティティの同一性を十分な確実性を持って確立するプロセス」...。 CCSPのテキストにはこんな風に書いてありますが、正直、ピンとこないですよね。
そこで今回は、この「認証」という言葉を、専門用語を使わずに、私たちの日常生活にある身近な例を交えて、簡単に解説します。
「認証」とは「本当にあなたか?」を確認すること
簡単に言うと、認証とは「本当にあなたであるか?」を確認するプロセスです。
これは、あなたが誰かに「私は城咲子です」と名乗ったときに、相手が「本人だと確認しました」と納得するまでの過程に似ています。
たとえば、皆さんが普段、スマートフォンやWebサイトを利用する際に行っていることが、まさに認証そのものです。
例1:スマートフォンのロック解除
- 「私です!」と名乗る: あなたの指紋や顔を読み込ませる
- 本人確認プロセス: 登録されている指紋や顔のデータと照合する
- 認証完了: ロックが解除され、スマホが使えるようになる
例2:Webサイトへのログイン
- 「私です!」と名乗る: ユーザー名とパスワードを入力する
- 本人確認プロセス: 登録されている情報と入力された情報が一致するかを確認する
- 認証完了: あなたのマイページが表示される
CCSPが定義する認証の3つの要素
CCSPでは、認証のプロセスをさらに細かく、以下の3つの要素に分類します。これも日常生活の例で見てみましょう。
知っていること(Something you know)
- 例: Webサイトのパスワード、PINコード、秘密の質問の答え
- 解説: あなただけが知っている情報を使って認証します。最も一般的ですが、パスワードの使い回しなどには注意が必要です。
持っていること(Something you have)
- 例: 会社のIDカード、スマートフォンの認証アプリ、物理的な鍵
- 解説: あなただけが持っている物理的なモノを使って認証します。これを「所持認証」と呼びます。
あなた自身であること(Something you are)
- 例: 指紋、顔、虹彩、声紋など
- 解説: あなた自身の身体的な特徴を使って認証します。これを「生体認証」と呼びます。
この3つの要素を組み合わせることで、より強固な認証を実現できます。例えば、パスワード(知っていること)と、スマートフォンに届くワンタイムパスワード(持っていること)を両方使うのが「二要素認証」です。
なぜクラウドセキュリティで認証が重要なのか?
クラウド環境では、サーバーやデータは物理的に遠い場所にあり、誰でもインターネットを通じてアクセスできてしまいます。だからこそ、システムにアクセスしているのが「本当に許可された本人であるか?」を正確に確認することが、不正アクセスを防ぐための最初の、そして最も重要なステップなのです。
まとめ
「認証」という言葉は難しく感じますが、その概念は私たちの身近な場所に溢れています。
情シス担当者として、認証の仕組みを深く理解することは、安全なシステムを構築するための第一歩です。日々の業務やサービス利用の中で、この3つの要素を意識することで、セキュリティに対する理解がさらに深まると私は考えています。
