authentication

認証 (Authentication, AuthN) とは？

認証は、アイデンティティの所有権（例：ユーザーまたはサービス）を確認するプロセスです。これは、アイデンティティとアクセス管理 (IAM) システムの基盤であり、アプリケーションとサービスのセキュリティを確保するために不可欠です。

認証 (Authentication, AuthN) とは何ですか？

認証 (Authentication, AuthN) は、リソースへのアクセスを許可する前に、ユーザーをその資格情報に基づいて識別するためにソフトウェアに組み込まれたメカニズムを指します。たとえば、最も一般的なログイン方法は、メールアドレスとパスワードを使用するものです。システムはこれらの資格情報を使用して、ユーザーがアクセスするための正しいアイデンティティを持っているかどうかを確認します。

アイデンティティとアクセス管理 (Identity and access management, IAM) の文脈では、認証はアイデンティティの所有権を確認することであり、その背後にいる人物やエンティティを特定することではありません。たとえば、家族があなたの資格情報を使用してログインした場合、彼らはあなたではありませんが、システムは彼らを同じアイデンティティとして認識します。

アイデンティティはユーザーだけでなく、サービスやデバイスを表すこともできます。たとえば、あるサービスが別のサービスに対して API キー (API key) を使用して自分自身を認証することがあります。

技術が進化するにつれて、認証方法はより高度で多分野にわたるものになっています。この用語は技術的に聞こえるかもしれませんが、サイバーセキュリティの重要な概念であり、すべてのアプリケーションとソフトウェアは、ユーザー情報のセキュリティとシステムへのアクセスを確保するために認証に依存しています。

認証 (Authentication, AuthN) の要素

Authentication, AuthN (認証) の要素 は、認証プロセス中にユーザーのアイデンティティを確認するために使用される証拠のカテゴリです。これらは、許可されたユーザーのみがシステムやリソースにアクセスできるようにするために役立ちます。これらの要素は通常、3つの主要なタイプに分けられ、「認証の3要素」と呼ばれることがよくあります。

知識要素: 知っていること（例：パスワード、PIN）
所持要素: 持っているもの（例：スマートフォン、セキュリティトークン）
固有要素: 自分自身であること（例：指紋、顔認識）

以下に2つの例を示します：

マルチファクター認証 (Multi-factor authentication, MFA) は、セキュリティを高めるために複数の要素を組み合わせる一般的な方法です。たとえば、銀行口座にサインインする際に、パスワード（知識要素）と認証アプリからのワンタイムコード（所持要素）を提供する必要があるかもしれません。

パスキー (Passkey) は、複数の要素を組み合わせることができ、フィッシング攻撃に対して耐性のある現代的な認証要素です。

一般的な認証 (Authentication, AuthN) の種類は何ですか？

主要なコンポーネントと認証要素をカバーした後、次に認証の種類に進みましょう。システムや製品はさまざまな認証方法を使用しており、これらの方法はその定義やユーザーの理解において重複することがあります。認証方法を選択する際は、製品のニーズに焦点を当て、ユーザーエクスペリエンスとセキュリティのバランスを取ることを目指してください。

パスワード認証

パスワード認証 は、システムやアプリケーションにアクセスする際にユーザーのアイデンティティを確認するための広く使用されている方法です。ユーザーは、メールアドレスやユーザー名、電話番号などの一意の識別子と、ユーザーのみが知っている秘密の文字列であるパスワードを提供する必要があります。

プロセスは、ユーザーがログインフォームにメールアドレスとパスワードを入力することから始まります。システムはこれらの資格情報を登録ユーザーのデータベースと照合します。資格情報が一致すれば、ユーザーはアクセスを許可され、一致しなければアクセスは拒否されます。認証が成功すると、システムはユーザーのログイン状態を維持するためにセッションを作成したり、トークンを発行したりすることがあります。

この方法はシンプルで広くサポートされており、ユーザーが理解しやすく使用しやすいです。しかし、フィッシング、ブルートフォース攻撃、データ漏洩などのリスクがあります。さらに、ユーザーは異なるサービスのために複数のパスワードを覚えるのが不便に感じるかもしれません。これらの問題に対処するために、メールとパスワード認証は通常、2要素認証 (2FA) などのセキュリティ対策で強化され、強力でユニークなパスワードの使用を奨励されます。

その課題にもかかわらず、メールとパスワード認証は、しばしば追加の対策と組み合わせて、アイデンティティ検証の基礎的な方法として残っています。

パスワードレス認証

パスワードレス認証は、パスワードに依存しないユーザー認証方法を指します。パスワードレス認証 は、従来のパスワードを必要とせずにユーザーのアイデンティティを確認する方法です。代わりに、メールやSMS、認証アプリを介して送信されるワンタイムパスワード (One-time password, OTP) 、指紋や顔認識などの生体認証、ユーザーのメールに送信されるマジックリンク、デバイスに保存されたパスキー、GoogleやFacebookなどのプロバイダーのアカウントを使用したソーシャルサインインなどの代替技術と要素に依存します。

このアプローチは、フィッシング、ブルートフォース攻撃、漏洩などのパスワードに関連するリスクを軽減することでセキュリティを向上させます。また、パスワードを覚えたり管理したりする必要がなくなることでユーザーエクスペリエンスを向上させ、パスワードリセット要求を減らすことでメンテナンスコストを削減します。

ソーシャル認証

ソーシャル認証 は、ユーザーがGoogle、Facebook、Twitter、LinkedInなどのソーシャルメディアやアイデンティティプロバイダープラットフォームの既存の資格情報を使用してアプリケーションやウェブサイトにログインできるようにすることで、ユーザーのアイデンティティを確認する方法です。ユーザーは新しいユーザー名とパスワードを作成する代わりに、既に信頼しているアカウントを使用して認証できます。

ユーザーがソーシャルログインオプションを選択すると、選択したプラットフォームにリダイレクトされ、資格情報を確認します。認証されると、プラットフォームはアプリケーションにトークンやユーザー情報（名前、メールアドレス、プロフィール写真など）を提供し、アイデンティティを確認します。このプロセスは安全であり、ユーザーにとってログイン体験を簡素化します。

ソーシャル認証は、ユーザーの摩擦を減らし、アイデンティティプロバイダー (Identity provider, IdP) のインフラストラクチャを活用することでセキュリティを向上させ、アプリケーションが迅速に検証済みのユーザーデータを収集できるようにします。特に、アクセスの容易さとソーシャルプラットフォームとの統合が優先されるアプリケーションで人気があります。

多要素認証

マルチファクター認証 (Multi-factor authentication, MFA) は、ユーザーが2つ以上の異なる認証要素を使用してアイデンティティを確認する必要があるセキュリティプロセスです。これらの要素は通常、上記の認証要素の3つのカテゴリに分類されます：知っていること、持っているもの、そして自分自身であること。

複数の要素を組み合わせることで、MFAはセキュリティを大幅に強化します。たとえ1つの要素（例：パスワード）が侵害されたとしても、追加の検証レイヤーにより、許可されていないユーザーがアクセスするのは非常に困難になります。

MFAは、オンラインバンキング、企業ネットワーク、財務的に敏感な製品、クラウドサービスなど、高いレベルのセキュリティが必要なシステムで広く使用されています。認証の方法というよりも、認証のためのセキュリティ対策としてより正確に説明されます。

バイオメトリクス認証

バイオメトリクス認証 は、ユニークな身体的または行動的特徴に基づいてユーザーのアイデンティティを確認するセキュリティプロセスです。これらの特徴（指紋、顔の特徴、声のパターンなど）は非常に個別的で再現が難しいため、この方法は安全で信頼性があります。

プロセスは、ユーザーのバイオメトリクスデータをキャプチャして安全に保存する登録から始まります。認証時に、システムはユーザーのライブバイオメトリクスデータをキャプチャし、保存された参照と比較します。データが一致すればアクセスが許可され、一致しなければ拒否されます。

この方法は、ユーザーがパスワードを覚えたり物理的なトークンを持ち歩く必要がないため便利です。スマートフォン、銀行アプリ、セキュアな施設、医療システムなどで、迅速で信頼性がありユーザーフレンドリーなアクセスを提供するために広く使用されています。

アイデンティティプロバイダー (IdP) を使用したエンタープライズシングルサインオン (SSO)

エンタープライズ SSO (Enterprise SSO) とアイデンティティプロバイダー (Identity provider, IdP) を使用すると、ユーザーは一度ログインするだけで、再認証なしに複数のアプリケーションやサービスにアクセスできます。IdPは、ユーザーのアイデンティティを管理し、認証を処理する信頼されたサービスです。

その仕組みは次のとおりです：

ユーザーは IdP（例：Google、Azure AD）を通じてログインします。
IdPはユーザーを認証し、トークンまたはアサーションを発行します。
トークンは、追加のログインなしでアクセスを許可するために他の接続されたアプリやサービスと共有されます。

このセットアップは、ユーザーアクセスを簡素化し、セキュリティのためにアイデンティティ管理を集中化します。

マシン間認証

マシン間通信 (Machine-to-machine) 認証は、人間の関与なしに通信するデバイス、アプリケーション、またはサービスのアイデンティティを確認するプロセスです。これは、IoT（モノのインターネット）環境、API、またはクラウドベースのサービスにおけるマシン間の安全な相互作用を保証します。

M2M認証では、従来のユーザー認証のようにユーザー名とパスワードを使用する代わりに、マシンは OAuth 2.0 などのAPIキー、証明書、トークンなどの安全な資格情報に依存します。これらの資格情報は、あるマシンまたはサービスが別のマシンまたはリソースにアクセスする権限があることを確認するために使用されます。

たとえば、モバイルアプリがクラウドサーバーと通信してユーザーデータを取得する際、サーバーはAPIキーまたはトークンを使用してアプリを認証し、それが正当なクライアントであることを確認します。同様に、IoTでは、スマートサーモスタットやウェアラブルデバイスなどが、証明書や安全なトークンを使用して制御システムやデータサーバーと認証します。

M2M認証は、特に機密情報が交換される環境において、データセキュリティと自動化システムの信頼性を確保するために重要です。

認証 (AuthN) を実装するためのベストプラクティスと重要な原則は何ですか？

認証機能を実装するには、重要な原則に焦点を当てる必要があります。OAuth 2.0 や OpenID Connect などの信頼できるプロトコルを使用し、機密データを暗号化することが強く推奨されます。さらに、ソーシャルログイン、パスキーなどのパスワードレスメソッド、ユーザー名/パスワード、生体認証、SSO などのさまざまな認証方法をサポートするオプションを提供することで、システムが多様なユーザーのニーズに対応できるようにします。

OIDC、SAML、および OAuth 2.0 における認証 (AuthN)

独自の認証システムを構築する代わりに、確立されたフレームワークとプロトコルを使用することが推奨されます。これらはセキュリティ専門家によってテストされ、レビューされています。認証がどのように実行されるべきかを定義するさまざまな認証フレームワークとプロトコルがあります。一般的なものとしては次の2つがあります：

OpenID Connect (OIDC) : OAuth 2.0 の上に構築されたアイデンティティレイヤーで、認証機能を追加します。比較的新しく、新しいアプリケーションで広く使用されています。
セキュリティアサーションマークアップ言語 (Security Assertion Markup Language, SAML) : 認証と認可データを当事者間で交換するためのプロトコルです。企業環境で一般的に使用されています。

フレームワークの選択は、使用ケースと要件に依存します。新しいアプリケーションには、モダンな設計と JSON Web Token (JWT) のサポートがあるため、OIDC が推奨されます。

ただし、これらのプロトコルを直接扱うことは依然として複雑で時間がかかる場合があります。両方のプロトコルには急な学習曲線があり、セキュリティを確保するためには慎重な実装が必要です。代わりに、これらのプロトコルをサポートまたは基にして構築されたアイデンティティプロバイダー (Identity provider, IdP) を使用することで、認証プロセスを大幅に簡素化できます。優れたアイデンティティプロバイダーは、将来のニーズに対応するためにマルチファクター認証 (Multi-factor authentication, MFA) やシングルサインオン (Single sign-on, SSO) などの追加機能も提供します。

認可 (AuthZ) と認証 (AuthN) の違いは何ですか？

AuthN を議論する際には、AuthZ が自然に会話に入ってきます。認証 (AuthN) はアイデンティティを確認し、パスワードやバイオメトリクスなどの資格情報を通じて「あなたは誰ですか？」に答えます。認可 (AuthZ) は「何ができるか？」を決定し、役割やポリシーに基づいてアクセスを許可または拒否します。AuthN はアイデンティティを確認するために最初に行われ、その後に AuthZ が権限を管理します。

たとえば、ユーザー名とパスワードでメールアカウントにログインする際、それが 認証 (AuthN) です。つまり、あなたが誰であるかを証明します。ログイン後、システムはあなたの役割に基づいてメールを読む、メッセージを送信する、または管理設定にアクセスするかどうかを決定します。それが 認可 (AuthZ) です。つまり、何をすることが許可されているかを定義します。