全1498文字
知識情報だけによる認証では、攻撃者が情報を入手すれば容易に不正ログインできてしまう。一方多要素認証は、所持情報や生体情報などの容易にまねできない情報を組み合わせてセキュリティーの強度を高める。
代表的な多要素認証の1つが、パスワードとワンタイムパスワードを使う方法だ。あるサービスにログインしたい利用者はパスワードを入力する。するとあらかじめ登録されている電話番号に対して、一定時間だけ有効な数字列(ワンタイムパスワード)がSMSなどで送られる。
このワンタイムパスワードを入力すると、サービスにログインできる。つまりパスワード(知識情報)を知っていて、なおかつ電話番号を登録したスマートフォン(所持情報)などを所持している利用者だけがログインできる。
シングルサインオンで利便性向上
IDaaSはセキュリティーだけでなく、利便性を高めるための機能も備えている。その1つがシングルサインオンである(PICT2)。
PICT2●一度認証した利用者に様々なSaaSへのアクセスを許可する
(イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]
シングルサインオンは、一度のユーザー認証によって複数のサービス(システム)の利用が可能になる仕組みや機能。IDaaSは、SAMLやOAuthといったシングルサインオン用のプロトコルを使って、他のSaaSと認証結果を共有する。SaaSはその認証結果を基に利用者のログインを許可する。
重要なのはパスワードなどの認証情報を渡すのではなく、認証できたという結果だけを渡す点だ。認証情報そのものを外部のSaaSへ渡すと、漏洩した場合のリスクが大きい。認証結果は一時的にしか使えない情報なので、たとえ漏洩したとしても大きな被害にはつながりにくい。
