認証技術
認証技術とは
Section titled “認証技術とは”インターネット上でメールを送ったり、ネットバンキングで振り込みを行ったりするとき、「相手が本当に正しい相手か」「情報が途中で書き換えられていないか」を確認する仕組みが必要です。このような仕組みを総称して認証技術と呼びます。
認証技術は大きく分けると、利用者が本人であることを確認する仕組み(利用者認証)と、データの正当性を証明する仕組み(デジタル署名・タイムスタンプなど)の2つの側面があります。この章では、まず利用者認証の基本から始め、デジタル署名やPKI(公開鍵基盤)まで順に解説していきます。
利用者認証の3要素
Section titled “利用者認証の3要素”Webサービスやシステムにアクセスするとき、ログインの操作を行います。ログインとは、利用者IDとパスワードなどを入力して、本人であることをシステムに証明する手続きです。ログインに成功すると、その利用者に許可された範囲でシステムを利用できるようになります。この「誰に何を許可するか」を管理する仕組みをアクセス管理と呼びます。
利用者認証の方法は、認証に使う「証拠」の種類によって3つに分類できます。
| 認証の要素 | 説明 | 具体例 |
|---|---|---|
| 知識認証(知っていること) | 本人だけが知っている情報で認証する | パスワード、PINコード、秘密の質問 |
| 所持認証(持っていること) | 本人だけが持っている物で認証する | ICカード、スマートフォン、セキュリティトークン |
| 生体認証(本人自身の特徴) | 身体的な特徴で認証する | 指紋、顔、静脈パターン |
この3つを認証の3要素と呼びます。それぞれ単独で使うこともできますが、組み合わせることでセキュリティを高めることができます。
試験で出るポイント
多要素認証と関連する認証方式
Section titled “多要素認証と関連する認証方式”多要素認証とは、認証の3要素のうち異なる種類の要素を2つ以上組み合わせて本人確認を行う方式です。たとえば、パスワード(知識)とICカード(所持)を両方求める方式が多要素認証にあたります。
ここで注意すべきは、「パスワード+秘密の質問」のように同じ種類の要素を2つ使う方式は多要素認証とは呼ばないという点です。これは「2段階認証」ではあっても、どちらも知識認証であるため、多要素認証には該当しません。
試験で出るポイント
ワンタイムパスワード
Section titled “ワンタイムパスワード”ワンタイムパスワードとは、一度しか使えない使い捨てのパスワードのことです。ネットバンキングなどで、取引のたびに専用の機器(トークン)やスマートフォンアプリが異なるパスワードを生成します。万が一パスワードが盗まれても、すでに使用済みで無効になっているため、不正利用を防げます。
SMS認証とは、携帯電話のSMS(ショートメッセージサービス)を使って認証コードを送信し、本人確認を行う方式です。利用者のスマートフォンにSMSで数桁のコードが届き、それを入力することで認証が完了します。スマートフォンを「持っている」ことが確認できるため、所持認証の一種です。
パスワードレス認証
Section titled “パスワードレス認証”パスワードレス認証とは、パスワードを使わずに本人確認を行う認証方式です。パスワードには「忘れてしまう」「盗まれる」「使い回してしまう」といった問題があります。パスワードレス認証では、生体認証やスマートフォンへの通知承認などを使うことで、これらの問題を解消します。
EMV 3-Dセキュア(3Dセキュア2.0)
Section titled “EMV 3-Dセキュア(3Dセキュア2.0)”EMV 3-Dセキュア(3Dセキュア2.0)は、オンラインでのクレジットカード決済時に本人確認を行う仕組みです。従来の3Dセキュアではパスワード入力が毎回必要でしたが、EMV 3-Dセキュアではリスクベース認証の考え方を取り入れています。
リスクベース認証とは、利用者の行動パターン(利用端末、IPアドレス、購入履歴など)を分析し、リスクが低いと判断された場合は追加の認証を省略し、リスクが高い場合のみ追加の本人確認を求める方式です。たとえば、いつもと同じスマートフォンで少額の買い物をする場合はそのまま決済でき、海外から高額な決済を行おうとした場合にはSMS認証が求められる、といった具合です。
シングルサインオン
Section titled “シングルサインオン”シングルサインオン(SSO)とは、一度のログイン操作で、複数の異なるサービスやシステムをまとめて利用できるようにする仕組みです。たとえば、Googleアカウントにログインすると、Gmail、Googleドライブ、YouTubeなどに個別にログインし直す必要がないのは、シングルサインオンの仕組みが使われているからです。
利用者はパスワードを1つだけ覚えればよいため利便性が向上し、パスワードの使い回しも減るためセキュリティの向上にもつながります。
生体認証(バイオメトリクス認証)
Section titled “生体認証(バイオメトリクス認証)”生体認証(バイオメトリクス認証)とは、人間の身体的な特徴や行動的な特徴を使って本人確認を行う認証方式です。パスワードのように忘れたり、ICカードのように紛失したりすることがないため、利便性とセキュリティの両面で注目されています。
代表的な生体認証の種類は以下の通りです。
| 認証方式 | 認証に使う特徴 | 特徴・用途 |
|---|---|---|
| 指紋認証 | 指先の紋様 | スマートフォンのロック解除などで広く普及 |
| 静脈パターン認証 | 手のひらや指の静脈の形 | 偽造が非常に難しく、銀行ATMなどで利用 |
| 虹彩認証 | 目の虹彩(瞳の周りの模様) | 精度が高く、経年変化が少ない |
| 網膜認証 | 目の網膜の血管パターン | 非常に精度が高いが、専用装置が必要 |
| 顔認証 | 顔の輪郭や目・鼻・口の配置 | スマートフォンやゲートの入退室管理で普及 |
| 声紋認証 | 声の周波数パターン | 電話越しの本人確認などに利用 |
試験で出るポイント
本人拒否率(FRR)と他人受入率(FAR)
Section titled “本人拒否率(FRR)と他人受入率(FAR)”生体認証の精度を評価する指標として、次の2つがあります。
| 指標 | 英語名 | 意味 |
|---|---|---|
| 本人拒否率(FRR) | False Rejection Rate | 本人なのに「本人ではない」と誤って拒否してしまう割合 |
| 他人受入率(FAR) | False Acceptance Rate | 他人なのに「本人である」と誤って受け入れてしまう割合 |
この2つの指標にはトレードオフの関係があります。認証の基準を厳しくすると他人受入率(FAR)は下がりますが、そのぶん本人拒否率(FRR)が上がります。逆に基準を緩くすると本人拒否率は下がりますが、他人受入率が上がってしまいます。
試験で出るポイント
デジタル署名
Section titled “デジタル署名”デジタル署名とは、電子的なデータに対して「作成者が本人であること」と「データが改ざんされていないこと」を証明する技術です。紙の書類における印鑑やサインに相当する役割を果たします。
デジタル署名の仕組みでは、署名鍵(秘密鍵)と検証鍵(公開鍵)という2つの鍵を使います。
- 送信者が、メッセージのハッシュ値を**署名鍵(秘密鍵)**で暗号化して「署名」を作成する
- 送信者が、メッセージと署名を一緒に送る
- 受信者が、送信者の**検証鍵(公開鍵)**で署名を復号し、元のハッシュ値を取り出す
- 受信者が、受け取ったメッセージから同じ方法でハッシュ値を計算する
- 3と4のハッシュ値が一致すれば、「送信者本人が作成した」「途中で改ざんされていない」と確認できる
ポイントは、署名には秘密鍵を使い、検証には公開鍵を使うという点です。秘密鍵は送信者だけが持っているため、その秘密鍵で作られた署名は送信者本人にしか作れません。これにより、送信者の本人性とデータの改ざん防止が同時に実現されます。
試験で出るポイント
タイムスタンプ(時刻認証)
Section titled “タイムスタンプ(時刻認証)”タイムスタンプ(時刻認証)とは、あるデータが「ある時点で確かに存在していた」ことと、「その時点以降に改ざんされていない」ことを証明する技術です。
たとえば、契約書の電子ファイルにタイムスタンプを付与すると、「この契約書は2026年3月15日 10:00の時点で存在しており、それ以降内容が変更されていない」ということを第三者機関が証明してくれます。デジタル署名が「誰が作成したか」を証明するのに対し、タイムスタンプは「いつ存在していたか」を証明するという違いがあります。
PKI(公開鍵基盤)
Section titled “PKI(公開鍵基盤)”デジタル署名を使えば、送信者の本人性やデータの改ざん防止が確認できます。しかし、1つ問題があります。それは「その公開鍵が本当に正しい相手のものか」をどうやって確認するかという点です。この問題を解決する仕組みがPKI(Public Key Infrastructure:公開鍵基盤)です。
認証局(CA)とデジタル証明書
Section titled “認証局(CA)とデジタル証明書”PKIの中核を担うのがCA(Certification Authority:認証局)です。認証局は、公開鍵の持ち主が本人であることを審査し、デジタル証明書(電子証明書)を発行する機関です。デジタル証明書には、公開鍵とその所有者の情報が記載されており、認証局のデジタル署名が付与されています。
身近な例でいえば、運転免許証は「公安委員会」という信頼できる機関が「この写真の人物は○○さんです」と証明するものです。デジタル証明書も同じように、認証局が「この公開鍵は○○さんのものです」と証明する役割を果たします。
デジタル証明書の種類
Section titled “デジタル証明書の種類”デジタル証明書にはいくつかの種類があります。
| 証明書の種類 | 用途 |
|---|---|
| サーバ証明書 | Webサーバが本物であることを証明する。HTTPS通信で使用される |
| クライアント証明書 | 利用者(クライアント)が本人であることを証明する |
Webブラウザで「https://」で始まるサイトにアクセスすると、鍵のマークが表示されます。これは、そのサイトのサーバ証明書が有効であることを示しています。
ルート証明書とトラストアンカー
Section titled “ルート証明書とトラストアンカー”認証局が発行するデジタル証明書の信頼性は、「その認証局自体が信頼できるか」にかかっています。最も上位にある認証局(ルート認証局)が自分自身の正当性を証明するために発行する証明書をルート証明書と呼びます。
このルート証明書は、信頼の連鎖の出発点です。この信頼の出発点のことをトラストアンカー(信頼の基点)と呼びます。パソコンやスマートフォンには、あらかじめ信頼できるルート証明書が組み込まれており、これをトラストアンカーとしてデジタル証明書の正当性を検証する仕組みになっています。
証明書失効リスト(CRL)
Section titled “証明書失効リスト(CRL)”デジタル証明書には有効期限がありますが、期限前であっても、秘密鍵が漏えいした場合や証明書の記載内容に変更があった場合には、証明書を無効にする必要があります。このような無効になった証明書の一覧をCRL(Certificate Revocation List:証明書失効リスト)と呼びます。
システムはデジタル証明書を検証する際にCRLを確認し、その証明書が失効していないかをチェックします。
試験で出るポイント