公開日: |更新日:
デバイス認証(端末認証)は、本人確認を補強する仕組みの一つです。本記事ではデバイス認証の概要やメリット・デメリットについて紹介します。
デバイス認証とは、ユーザーがログインに使用するスマートフォンやパソコンが、あらかじめ登録・許可された端末かどうかを確認する認証方式です。一般的なIDとパスワードによる認証が「本人かどうか(知識情報)」を確認するのに対し、デバイス認証では「登録された端末かどうか(所持情報)」を技術的に検証します。
具体的な仕組みとしては、利用するデバイスの固有情報(識別番号や電子証明書など)を事前にシステム側へ登録しておきます。そしてログイン要求があった際に、アクセスしてきた端末の情報と、サーバーに登録されている情報が一致しているかをシステムが自動的に照合します。
デバイス認証を導入すれば、万が一フィッシング攻撃などでIDやパスワードが外部に流出しても、実被害を防ぐことができます。攻撃者がログイン情報を不正に入手したとしても、手元の端末が登録されていなければアクセス自体が成立しないためです。パスワードリスト攻撃のような「リスト型攻撃」への防御壁として強力に機能します。
会社が許可した端末(社給PCや登録済みスマホ)以外からのアクセスをシステム側で強制的にブロックできます。これにより、社員が勝手に私物のスマホや自宅のPCで業務を行う「シャドーIT」を防止できます。「正しいIDを知っている本人」であっても、「許可されていない環境」からはアクセスさせないことで、セキュリティポリシーを徹底できます。
「利用状況を正確に把握する」ための管理面でもメリットがあります。従来のID認証だけでは「誰が」アクセスしたかしか記録に残りませんが、デバイス認証を導入すると「社員Aさんが、支給されたiPadからアクセスした」というように、人物と使用端末を紐付けた詳細なログ(記録)を取得できます。
これにより、万が一の情報漏えい時にも「どの端末からデータが持ち出されたか」を即座に特定でき、迅速な原因究明と対応が可能になります。
デバイス認証のデメリットの1つは、導入にあたってコストが発生する点です。デバイス認証には専用の認証システムや管理ツールの購入・設定が必要となるケースがあります。システム構築やユーザー端末の登録作業など運用準備にも時間とコストがかかるでしょう。数人で使うクラウド型サービスなら数千円から数万円程度、企業向けサービスでは数百万円前後となる場合があります。
端末自体が紛失したり盗まれたりすると、登録済みの端末として不正利用されるリスクがあります。スマートフォンをデバイスとして利用する場合、リスクはさらに高まるでしょう。紛失時にはすぐに端末を無効化する、バックアップ認証手段の準備を整えておくなどの対策が必要です。
デバイス認証は、端末の情報を利用した本人確認の要素であり、システムへのアクセス時に、追加の確認手段として活用されます。IDやパスワードが流出しても、不正アクセスの抑止につながります。
以下のページでは、セキュリティを高めるために活用したい多要素認証システム・ソリューションについて紹介しているので、こちらもぜひご覧ください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
