最近ドコモ口座やゆうちょ銀行の不正引き出しについてのニュースが多いですね。
そのニュースを見ていると二要素認証(多要素認証)といった単語をよく見かけます。
今回は私自身の復習や勉強のために記事にしていきますので、興味がある方は見てみてください。
なお、認識が違っている内容や間違っている内容等があれば教えて頂けると嬉しいです。
多要素認証について(IPA)
まずはIPAの「不正ログイン対策特集ページ」というのがあり、そこで簡単に説明がありましたので、見てみましょう!
各種インターネットサービスにおける不正ログイン対策として、複数の要素(記憶、所持、生体情報)を用いた認証方式である「多要素認証」や、同じ要素の認証を多段で実施する認証方式である「多段階認証」などが提供されています。
個別のサービス毎に、使われている認証方式やサービス名称は異なりますが、複数の要素を用いた「多要素認証」が採用されているサービスが主流であるため、本ページ内では総称として「多要素認証」と表記します。
また、以下のような図も用意されていましたので、参考に持ってきました。
多要素認証について(PCI DSS)
続けてクレジットカード事業者等のセキュリティ審査の基準として使用されているPIC DSSにも「Multi-Factor Authentication」という資料があるので、見てみましょう。
※英語なので、多少不安ですが・・・
個人的に抑えておかなければいけない箇所はこちらになるかと思います。
PCI DSS requires that all factors in multi-factor authentication be verified prior to the authentication mechanism granting the requested access. Moreover, no prior knowledge of the success or failure of any factor should be provided to the individual until all factors have been presented. If an unauthorized user can deduce the validity of any individual authentication factor, the overall authentication process becomes a collection of subsequent, single-factor authentication steps, even if a different factor is used for each step.
Forexample, if an individual submits credentials (e.g., username/password) that, once successfully validated,lead to the presentation of the second factor for validation (e.g., biometric), this would be considered “multistep” authentication.
簡単に図で表してみました。
以下の例ですが、今後変わっていく可能性がありますので、注意してください。
PCI DSSで多段認証として扱われてしまうパターン
こちらはよく見かけるパターンですが、PCI DSS的には二要素認証(多要素認証)ではなく、多段認証として取り扱われてしまう可能性があります。
ここでの多要素というのは「記憶、所持、生体情報」のうちのどれか二つ以上を使用している認証ということです。
「記憶・記憶」という場合では要素としては一つなので、多要素であったり、二要素ともいうことができません。
「記憶・所持」、「記憶・生体情報」、「所持・生体情報」、「記憶・所持・生体情報」のうちどれかを採用していれば多要素認証になります。
なお、ID/PWの認証が成功しないと、ワンタイムキーによる認証ができないパターンは多要素認証認証としては認められないということになります。
また、メールアドレス宛に送信された、ワンタイムキーについては、保持情報として扱われず、記憶情報として扱われます。
なので、ID/PWによる記憶情報とメールアドレス宛に送信されたワンタイムパスワードも記憶情報なので、多要素となりません。
PCI DSSで多要素認証として扱って貰えるパターン(2020年9月今現在)
この場合ですが、最終的な判定がSMSによるワンタイムキーの入力後に行われます。
そうすることで、ID/PW/ワンタイムキーの多要素(二要素)による認証となるので、多要素認証として取り扱われます。
ただし、この流れで注意しなければいけない箇所があります。
それはSMSによるワンタイムキーの箇所です。
「Multi-Factor Authentication」の中に以下の記載があります。
PCI DSS relies on industry standards—such as NIST, ISO, and ANSI—that cover all industries, not just the payments industry. While NIST currently permits the use of SMS, they have advised that out-of-band authentication using SMS or voice has been deprecated and may be removed from future releases of their publication.
簡単に訳すると「NIST等が今は許可にしているけど、非推奨だから、そのうちダメになるかもしれないよ!」とのことです。
興味がある方はまずは、PCI DSSの資料を読んでみましょう!
まとめ
今回多要素認証について記事にしました。
調べてみると、IPAとPCI DSSに違いがあるなと感じました。
IPAの図の表記だと、多要素認証ではなく、多段階認証になるんじゃないかなと個人的には思います。(作った当初はどうだったかはわかりません。)
昨今の風潮として、NIST等の海外のセキュリティの対応に日本が遅れがちで付いていくパターンが多いです。
個々人まはた組織で自分たちのセキュリティレベルを高めるように調査及び対応をしていかなければいけないと強く感じます。
なお、多要素認証については少なくとももう一つ記事を書きたいなと考えているので、気長にお待ちください。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント