会員サイト構築の記事
ARTICLEWeb認証とは?種類や仕組み、セキュリティ面の安全性も解説
Web認証とはサイトの利用者がなりすましなどの被害に遭わないためのセキュリティ対策です。Web認証とは何か、仕組みや種類について解説していきます。またWeb認証のセキュリティ面はどうなのか、安全性についても見ていきます。
Web認証とは?仕組みは?
Web認証とは、Webサイトやアプリケーションにログインする際に、ユーザーを個別に認証するための仕組みです。
Web認証には「知識認証」「生体認証」「所有物認証」の3種類があります。
ここでは3つのWeb認証について、それぞれ特徴などを詳しく解説していきます。
知識認証(WHAT YOU KNOW)
まず知識認証ですが、英語では「WHAT YOU KNOW」と表現されます。知識認証ではユーザーだけが知っていることを提示し本人確認を行います。
ユーザーだけが知っていることとは、具体的に「パスワード」「秘密の質問」などがあります。
「秘密の質問」の内容は「母親の旧姓は?」「初めて飼ったペットの名前は?」など、ユーザーだけしか知りえない内容となっています。
生体認証(WHAT YOU ARE)
生体認証は英語では「WHAT YOU ARE」と表現され、ユーザーの体の一部を使って認証を行います。
ユーザーの体の一部とは、具体的に「指紋」「顔」「声紋」「目の網膜や虹彩」「手の平や指の静脈」などがあります。
生体認証は体の一部を使って認証を行うためなりすましが難しく、現在最も安全な認証方法とされています。
所有物認証(WHAT YOU HAVE)
所有物認証は英語では「WHAT YOU HAVE」と表現されます。
所有物認証ではユーザー本人しか持っていないものを使って認証を行います。具体的には「運転免許証」「印鑑」「マイナンバーカード」などです。
インターネット上ではセキュリティトークンや電子証明書が所有物認証になります。
Web認証はセキュリティ面で安全なのか
Web認証はとても便利な認証方法ですが、セキュリティ面ではさまざまなサイバー攻撃を受ける可能性があります。
ここではWeb認証の脆弱性とセキュリティ性を高めるための対策を紹介していきます。
Web認証はさまざまなサイバー攻撃を受ける可能性がある
ユーザーIDとパスワードを使った認証では、IDとパスワードが流出すると悪意ある第三者に不正ログインされ、勝手にサービスを使われる恐れや個人情報が漏れる危険性があります。
IDとパスワードを悪用したサイバー攻撃を防ぐためには、複雑なID・パスワードを設定することが大切です。
またIDとパスワードは定期的に変更することが必要です。
Web認証のセキュリティはIDとパスワードだけでは不十分
Web認証のセキュリティはIDとパスワードだけでは安全性に欠けます。
なぜなら手当たり次第IDとパスワードを入力してログインを試みる「総当たり攻撃」や「逆総当たり攻撃」、ありがちなIDやパスワードを入力してログインを試みる「辞書攻撃」などがあるためです。
これらの攻撃を受けると、IDとパスワードが流出していなくても不正ログインされる可能性があります。
二段階認証を導入すればセキュリティ性が高まる
IDとパスワードによるWeb認証は確かにセキュリティ性は高くありませんが「二段階認証」や「二要素認証を併用することでセキュリティ性を高めることが可能です。
二段階認証では主に「SMS認証」が採用されています。
IDとパスワードを入力した後に、登録した電話番号にショートメッセージ(SMS)が届きます。メッセージに記載された認証コードを入力するとログインできるようになっています。
Web認証を導入する際の手順
WebサイトにWeb認証を導入するにはワンタイムパスワード認証機能が付いたWebサーバーを利用するか、ソフトウエア・トークンを使う方法があります。
ここではWebサイトにWeb認証を導入する方法や手順について解説していきます。
ワンタイムパスワード認証機能が付いたWebサーバーを利用する
Web認証を導入するためには、ワンタイムパスワード認証機能を持つWebサーバーを使う方法があります。
ワンタイムパスワード認証機能を持つWebサーバーを使えば、Web認証機能が付いたWebサイトを簡単に構築・運用できます。
ソフトウエア・トークンを使う
WebサイトにWeb認証を追加したいなら以下のようなソフトウエア・トークンを利用しましょう。
- Google Authenticator
- Microsoft Authenticator
- WinAuth
- Authy
- IIJ SmartKey
これらは無料で利用できるため、コストを抑えて導入できます。
二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証(Fast IDentity Online)など、強固な認証にも対応しています。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。
まとめ
より安全な会員サイトを作りたいのであれば、Web認証機能を導入しましょう。さらにSPIRAL®を併用することで、安全性の高いサイトを構築できます。
Webサイトを構築するうえでセキュリティ面はとても大切ですから、できるセキュリティ対策は徹底して行いましょう。
