認証(authentication)の強化

セキュリティ確保のためユーザによるアクセス制御を行うことは、必需的対策です。 しかし、なりすましされてしまうと、 ほんどの対策の効果を失ってしまいます。
このなりすましによる侵入を防ぐために、 認証を強化しなければなりません。

最も一般的な方法は、ユーザIDとパスワードで認証する方法です。
パスワードが解読されたり、盗まれたりしない限り 不正アクセスは困難です。
よって、パスワードの扱いを次のようにする教育が必要です。

しかし、さまざまなユーザがいるので、 教育だけでは済まないのが現状です。
定期的な変更がなされなかった場合の 「変更を強制する指示」や「ロックアウト:認証させない」 など設定を行います。

パスワードを使う方法は、 「本人しか知りえない情報による承認(something you know)」ですが、 よりセキュリティを教化するために次の方法が挙げられます。 (もちろん、その分コストがかかります)

ワンタイムパスワード

パスワードを使う方式では、 ワンタイムパスワードを利用することがあります。 これを使うと 仮にパスワードが盗聴されても、そのパスワードは次の ログオンで使えないため、有効な対策になります。
よって、デバイス型のほとんどで使われています。
ワンタイムパスワードでは、次のような手法があります。


バイオメトリックス認証

バイオメトリックス認証(biometrics authentication) は、本人の身体的特徴や、行動的特徴で識別します。
身体的特徴には、指紋、声紋、静脈パターン、掌紋、顔、 虹彩、網膜などを利用します。
行動的特徴には、筆跡、キーストロークなどが使われます。

バイオメトリックス認証は、 環境によって変化し、 単純なパスワードなどによる認証に比べ、難しく、 高速な処理が必要になります。
システムの評価指標として、被承認者が当人なのにNGとなる 本人拒否率と、 当人でないのに認めてしまう他人受入率を使います。

バイオメトリックス認証の機器は、認証に失敗するとパスワードを 求めるものが多くあります。 その場合は、結果として認証の強度がパスワードに依存してしまいます。
よってその場合、パスワードの運用も一般ユーザには知らせないなど、 なんらかの配慮が必要です。

また、指紋など身体的特徴の登録を不快に感じるユーザも 多いので、導入検討の段階に確認した方がよいでしょう。

CAPTCHA「キャプチャ」

Completely Automated Public Turing test to tell Computers and Humans Apart
Webページの入力フォームなどで、ロボットによる自動入力を防止するために人間であることを証明させる仕組みのことです。 歪んだ文字や数字が埋め込まれる画像を表示して、何が書かれているかを入力させることでテストする方式が、有名です。