8.1.1 認証とは何か?

認証(authentication) を一言で言えば、本物であることを証明することであると言えます。特に、情報システム では本人であることを証明することだと言っても良いでしょう。

しかし、証明すると言ってもどうやって証明すれば良いのでしょうか。こうした問題は、 良く映画などにも登場します。主人公は自分の記憶を無くしてしまって、IDカードも 何もない、一体私とは誰なんだとか、あるいは別の映画では、記憶はあるが、それを証明 する一切の証拠がない、写真も全て別人物に置き換えられているし、友人達の記憶にも ない、果たして主人公は自分を取り戻せるか、と言った具合いです。そこまで行かなくても、 何があれば本人と証明出来るのかというのは実際上難しい問題です。銀行のカードは、 暗証番号を知っていれば預金を引き出せます。この場合の認証の条件は、カードを持っている、 暗証番号を知っている、という条件です。また、預金通帳で引き出す場合には、今実際に 問題になっていますが、預金通帳を持っていて、 それに合う印鑑を持っている、というだけです(そのために、明らかに住所が 違ったり、筆跡が違っても引き出せてしまうという事が問題になっていますね)。

このように認証でやっかいなことは何をもって本人と見なすかという点にあります。 通常、本人の証明には2つの方法があります。

こうした証明であっても、本人しか知らない情報は当然それが漏れれば終りですし、 指紋や虹彩であってもそれが本人のものであるという前提条件が崩れれば、何らかの 物理的な読み取りを行っている以上偽装することは可能です。従って、これらの証明 方法でも一つだけを考えるよりも、複数を組み合わせる方がより強力であると考えられ ています。

情報システムで通常もっとも広く利用されている認証方法は、パスワードシステムです。 これは証明方法としては、本人しか知らない情報を利用したものに分類されます。 当然、ユーザが入力したパスワードが正当なものか否かのチェックがこのシステムの 要となり、正当性を証明するものが何かという事が問題となります。この問題については 後程考えることにして、もしこうした認証が破られたらどうなるかを少し考えてみましょう。



Noriyo Kanayama