認証 とは†
- Authentication
- Certification
Authentication とCertification†
- Authentication
- 二者間認証
- 登録管理者と認証請求者との間で直接的に行われる認証
- 登録管理者は認証者を兼ねる
- Certification
- 三者間認証
- 認証請求者と認証者との間に登録管理者が第三者として介入して間接的に行われる認証
- 認証請求者の正当性は、登録管理者が発行する証明書の保有により証明される
認証に関連する機能†
- 認可:リソースのアクセス権限の識別(Authorization)
- アクセス許可/拒否(Access Control)
- 委託(Delegation)
認証の分類†
認証の対象†
エンティティ認証†
認証の手段(本人確認)・認証の3要素(Something You ..)†
- 知識認証(Know)
- KBA(Knowledge Based Authentication)
- 本人しか知らないことを証明する。
- 記憶認証、ナリッジベース認証
- 生体認証(Are)
- 備える要素。本人の生物学的な要素を使って証明する。
認証要素とは†
認証方式†
HTTP認証†
フォーム認証†
- HTMLフォームにユーザIDとパスワードを入力する
- セッション管理
- Cookieが使える場合はCookie
- 携帯端末などCookieが使えない場合は端末ID
クライアント認証†
他システムを絡めた認証†
統合認証†
連合認証†
外部システムでの認証†
認証関連のプロトコル†
リモート環境においてユーザの認証と利用記録を一元的に行うシステム†
ユーザを認証するシステム・仕組み†
認証関連のミドルウェア†
- SASL -Simple Authentication and Security Layer
- 送信ドメイン認証
- SPF -Sender Policy Framework
- DKIM -DomainKeys Identified Mail
- DMARC -Domain-based Message Authentication, Reporting and Conformance
認証ログ†
認証ログに記録する情報†
- 認証発生日時
- ユーザのID
- 認証結果(成功/失敗)
- アクセス端末の識別情報(IPアドレス/MACアドレス/UID)
- セッションID(認証成功時のみ)
- 認証失敗理由(認証失敗時のみ)
認証ログの管理†
- 監査まで削除せずに保管する。(年度単位の場合、最低1年間)
- 削除や改竄を防止するための処置。(管理者のみ参照・変更できる状態で保管)
HTTP†
- HTTP Status 401 Unauthorized
- 認証の失敗
- 「認証」の失敗なのに「authorize」(認可)
認証保証レベル†
参考情報†
- RFC2617
- OWASP Guide -A Guide to Building Secure Web Application and Web Services
- JIS X 0036-1:2001 -ITセキュリティマネジメントのガイドライン
関連サイト†
関連用語†