愛6章　情報セキュリティ対策技術　（２）認証

□認証の対象として,人の認証(本人認証),物(機器,デバイス等)の認証,情報の認証(メッセージ認証)の三っがぁる。また,本人認証として,バイオメ卜リクスにょる認証,所有物による認証記臆や秘密による認証の三つがある。
□認証された利用者に対して,定められた機能などを実行するための権限を与えることを「認可(Authorization)」とし、う。
□チャレンジレスポンス方式とは,サーバから送られた乱数文字列である「チャレンジ」と,クライアントのパスヮ_ドでぁる「シ_ド」(Seed:種)を組み合わせて計算した結果を[レスポンス」としてサーバに返し,サ_バも同様の計算を行つて求めたレスポンスとの比較によってユ_ザを認証する方式である。
□ワンタイムパスワード方式は,認証のたびに毎回異なるパスヮ_ドを使用することでセキュリティを確保するが,そのため…ま生成するパスワードこ規則性や連続性がなく(ランダムであること),ユーザがパスワードを覚えなくてもよいようになつている必要がある・
□チャレンジレスポンス方式やS/Keyによる認証における問題として,サ_バの正当性を確認する仕組みがなぃと,通信経路上に不正なホストが存在し,それにょってセッションをハイジャンクされてしまう可能性がある。これを中間者攻撃(Man-in-the-MiddIeAttack)と呼ぶ。
口調証システムに対する中間者攻撃の脅威に対しては,SSL/TLSのように,通信に先立ち,ディジタル証明書にょってクライアントがサーバの正当性を確認する方式を採用することなどが対抗策となる・
□IC力ードHこ対する攻撃手法は,ICチップの破壊を伴うもの(破壊攻撃)と伴わないもの(非破壊攻撃,もし<はサイドチャネル攻撃)に大別される。前者の代表的なものとして,ブ口_ビングやリバースエンジニアリングがぁり,後者の代表的なものとしては,DPAsPAグリッチ,光照射などがある・
□|Cチップの脆弱性評価に関する事実上の基準となつてぃるのはJlWGである。J|WGは,ICカードの評価の公平性ゃ客観性を実現するための解釈の統一や,|SOノlEC15408をICカ_ドの評価に適用する際の解釈の統_を目的としたワーキンググループである。
口|EEE802.1Xは,ネットワ_ク環境においてユーザ認証を行ぅための規格である。もともとは有線LAN向けの仕様として策定が進められたが,その後EAPとして実装され,現在では無線LAN環境における認証システムの標準仕様として広く利用されている・
ロIEEE802.1Xはクライアントであるサプリ力ン卜(SuppIicant)システム,アクセスポイント貪やLANスイッチなど,認証の窓口となる機器である認証装置Authenticator),認証サ_バ(RADIUSサーバなど)から構成される・
ロEAP.TLSは,サ_バ・サプリ力ントでTLSによる相互認証を行ぅ方式であり,認証成立後にはTLSのマスクシ_クレッ卜をもとにユ_ザごとに異なる暗号鍵を生成.配布し,定期的に変更するため,無線LANのセキュリティを高めることができる・
ロEAP.TTLSは,TLSによるサーバ認証によつてEAPトンネルを確立後,そのトンネル内で様々な方式を用いてサプリカントを認証する方式であり,EAP‐TLSと同じ仕組みにより,無線LANのセキュリティを高めることができる。
ロPEAPは,EAP.TTLSと㈱ぎ同様の方式だが,サプリヵン卜の認証はEAP準拠の方式に限られる・EAP‐TLS,EAP.TTLSと同じ仕組みにより,無線LANのセキュリティを高めることができる・
□EAP.MD5は,MD引こよるチャレンジレスポンス方式にょってパスヮ_ドを暗号化し,サプリカントの認証のみを行ぅ方式である。認証プロセスそのものは暗号化されず,暗号鍵の生成・配布等も行わないため,無線LANでの使用…よ向かない(有線LAN向き)。
□シングルサインオン(SSO)を実現するには,各サーバ間でュ_ザの識別暗報を交換する必要があるが,それを行ぅための仕組みとして,クッキーを用いる方式,リバ_スプロキシサ_バを用いる方式,SAMLを用いる方式がある・
ロクッキ_を用いたSSO認証システムでは,クッキーが共有可能な範囲内(同一ドメイン内)でしか使用できなぃ,クライアントがクッキーの使用を制限している場合…ま使用できない等の問題がある。一方,リバースプロキシ方式については,ネットワーク構成の制約にょり,複数のドメインにまたがつたシステムでSSOを実現するのは困難である・
ロSAMLとは,認証情報を安全に交換するためのXML仕様でぁり,OASlSによつて策定された。SAMLはSOAPをベ_スとしており,同一ドメイン内や特定のベンダ製品にとどまらない大規模なサイトな￣こおいて,相互運用性の高いSSOの仕組みや,セキユアな認証情報管理を実現する技術である・
ロSAMLでは,認証結果の伝毒属性情報の伝邊アクセス制御情報の伝達,のそれぞれにアサーシヨンと呼ばれるセキュリティ情報を扱うほか,アサーシヨンへのリファレンス情報などからなる「Artifact」と呼ばれる情報が使用されている。
ロSAMLでは,|dPとsP間で要求.応答メッセ_ジを送受信するためにHTTPやSOAP等のプロトコルにマッピングする方法(パインディング方法)として,S○AP,　HTTPRedirect,　HTTPPOST,　HTTPArtifactなどの種類がある。
□一般的に,アイデンテイテイ管理(|D管理)は,ディレクトリ,プロビジヨニング,アクセス制御(管理),ワークフローなどのシステムと,それを運用管理するためのボリシ,手順,体制などによって実現される。