Japan
サイト内の現在位置
認証方式の整理とNIST SP800-63での認証方法決定
NECセキュリティブログ2021年5月21日
NECサイバーセキュリティ戦略本部セキュリティ技術センターの山田です。現在、キャッシュレス決済のように個人の資産に関わる情報をインターネット上で扱うことが一般的になりつつあります。テレワークの普及、クラウドサービスの活用など業務を行う際にも、従来のように組織の管理するイントラネット外から機密情報へのアクセスが必要な場面も増えています。
それに伴い、不正アクセスによるクレジットカードの不正利用や、情報漏洩などのインシデントも報告されています。
今回は、こういったインシデントを防ぐための第一歩であり、重要な要素である認証方式についてメリット・デメリットの整理をします。この記事では、認証についてのガイドラインであるNIST SP800-63を参考に、モデルケースにて必要な認証要素を考えてみたいと思います。
認証方式の整理
記憶 | 所持 | 生体情報 | |
---|---|---|---|
確実性 |
|
|
|
利便性 |
|
|
|
強度 |
|
|
|
紛失、なりすまし |
|
|
|
変更 |
|
|
|
表1 認証要素の特性
確実性について、記憶・所持要素では、登録されている情報と完全一致するかの判定が行われますが、生体情報要素では使用アルゴリズムや場面(例:日光で顔画像が正常に取得できない)によって、誤って他人を受け入れてしまう他人受入や、誤って本人を拒否する本人拒否が発生する可能性があります。
利便性について、記憶要素は覚えることが必須であること、組織によっては定期的な変更といった運用が行われることもあります。所持要素は、端末、カードなどを常に携帯することが必要です。一方、生体情報要素は記憶・携帯の必要がありませんが、認証をさせる側に専用の機器が必要になり、導入コストが高くなる傾向にあります。
強度、紛失、なりすましについて、記憶要素は使用する文字種、長さによって総当たり・辞書攻撃への耐性が変動します。また、一旦漏洩したものを使い続けるとなりすましが可能になってしまいます。所持要素では盗難が大きな脅威となります。また、偽装のリスクもあります。生体情報要素の強度、なりすましは使用アルゴリズム、製品などに依るため一概には言えませんが、画像から顔や指紋の偽装が行えるという研究もあり[3]、偽装の可能性があります。
最後に変更について、記憶要素の変更は新たなパスワード設定を行うだけなど容易に可能です。所持要素については、実装方法によってはソフトウェアでの処理のみで可能ですが、端末やカードの再発行が必要となり時間がかかる場合もあります。生体情報要素は再登録によって、認証率の改善や経年変化への対応は可能ですが、生体特徴そのものを変更することは基本的にできません。
続いて、具体的にいくつかの認証方式についてメリット・デメリットを整理したものを表2に示します。各要素(記憶・所持・生体情報)による共通のメリット・デメリットは省略しています。
認証方式 | 要素 | 概要 | メリット | デメリット | |
---|---|---|---|---|---|
パスワード | 記憶 |
|
|
| |
秘密の質問 | 記憶 |
|
| ||
PIN | 記憶(+所持) |
|
|
| |
パターン認証 | 位置と順番 | 記憶 |
|
| |
乱数表 | 所持 |
|
|
||
ワンタイムパスワード | SMS、メール | 所持(or記憶) |
|
|
|
アプリ | 所持 |
|
|
| |
ハードウェア | 所持 |
|
|
| |
証明書 | 所持 |
|
|
| |
指紋 | 生体情報 |
|
|
| |
顔 | 生体情報 |
|
|
| |
虹彩 | 生体情報 |
|
|
||
静脈 | 生体情報 |
|
|
表2 認証方式毎のメリット・デメリット
PINの実装方法によっては二要素とならないこと、メール経由でのワンタイムパスワード発行が所持要素とならない場合がある点は、特に注意が必要です。
NIST SP800-63における認証方式の選択
ここまで、3つの認証要素、および認証方式の整理を行いました。それでは実際にシステム、サービスを設計する際に必要とする認証方式はどのように決定したらよいのでしょうか?
今回は、NIST SP800-63を参考に、ECサイトを立ち上げることを想定して必要な認証方式を考えてみたいと思います。
NIST SP800-63では、Identity AssuranceがIdentity Assurance Level, Authenticator Assurance Level, Federation Assurance Levelという3つの要素で構成されているとし、それぞれの要素は3段階で定義されています。今回は3つの中でも認証プロセスについて定義されているAuthenticator Assurance Level(AAL)に注目します。
AALの各レベルで使用可能な認証要素の概要は表3のようになります。
AAL | 使用可能な認証要素 |
AAL1 | 単一または多要素認証 |
AAL2 | 多要素認証(2つの単要素認証を組み合わせる場合は、記憶要素と所持要素を組み合わせる) |
AAL3 | 多要素認証(暗号鍵を用いた認証および、ハードウェアベースの認証を含む) |
表3 AAL各レベルで使用可能な認証要素
また、NIST SP800-63の6.2にてAALを決定するためのチャートが図1のように示されています。

(NIST Special Publication 800-63 Revision 3

これを用いて、ECサイトの立ち上げを想定した場合の適切なAALを設定してみます。
まず1つ目のチャート、
“What are the risks (to the organization or the subject) of providing the digital service?”
にて、非正規のユーザがアクセスできた場合のリスク評価を行います。ここで、組織、ユーザ両者の視点を鑑みて、どちらか一方のみに影響があるリスクも考慮します。リスク評価の結果を表4に示します。
影響カテゴリー | Assurance Level | ユーザ | 組織 |
不便, 苦痛, または社会的地位やレピュテーションの毀損 | Moderate |
|
|
経済的損失または機関の責任 | Moderate |
|
|
機関のプログラムや公共の利益への損害 | N/A | ||
Authorize のないセンシティブ情報の公開 | Moderate |
|
|
個人の安全 | Low |
|
|
民事または刑事上の違反 | Moderate |
|
NIST SPシリーズは政府機関向けに作成されており、今回は「機関のプログラムや公共の利益への損害」についてはN/Aとしました。この評価結果を元に、AALを決定したチャートを図2に示します。たどったチャートを赤枠で囲っています。

この結果から、今回想定したECサイトで必要なAALは2であり、多要素認証が必要ということになりました。AAL2を満たすために、例えばパスワード(記憶要素)と、専用のハードウェアを必要としないSMSやアプリケーションを利用した所持要素での多要素認証が実現手段として適していると考えられます。
まとめ
今回は、3つの認証要素と各認証方式の整理、およびNIST SP800-63での認証方式の決定例をご紹介しました。リスクに応じて適切な認証要素を選択することは、システムの安全性を向上させるだけでなく、利便性を最大限享受することにも繋がると考えられます。
本ブログが、皆さんの参考、認証について考えるきっかけとなれば幸いです。
参考情報
- [1]NIST Special Publication 800-63 Revision 3 Digital Identity Guidelines
https://pages.nist.gov/800-63-3/sp800-63-3.html
- [2]NIST Special Publication 800-63 Revision 3 Digital Identity Guidelines (翻訳版)
https://openid-foundation-japan.github.io/800-63-3-final/sp800-63-3.ja.html
- [3]WIRED 3m先から撮った親指の写真から、指紋の複製に成功
https://wired.jp/2015/01/05/politicians-fingerprint-reproduced-using-photos/
執筆者プロフィール
山田 道洋(やまだ みちひろ)
セキュリティ技術センター セキュリティ実装技術チーム
NECグループのセキュア開発・運用を推進。主にクラウドのセキュアアーキテクチャ検討、リスクアセスメントに従事。

執筆者の他の記事を読む
アクセスランキング