基本的な認証と問題点
ファイアウォールと暗号化通信により、ネットワークへの余計なアクセスや、
データの盗聴から、コンピュータあるいはその中の情報を守ることができます。
今度は、誰がサービスにアクセスするのかを制御する認証の仕組みの基本について見てみましょう。
みなさんも電子メールをやりとりしようとしたり、会員制のECサイトでショッピングをしたりするときに、
自分は誰であるかということをコンピュータに識別させるためのID(ユーザ名、アカウント名)と、
そのIDを使おうとしているのがIDの持ち主本人であるかどうかを確認するためのパスワードを入力して、
サービスを使用していると思います。
このようにしてサービスの正規の利用権限をもつことを検証する作業を、認証と呼びます。
サービスの利用に認証による制限をかけるのは、人的な意味でのセキュリティの基本です。
また、IDとパスワードの組合せによる認証は最も初歩的で、一般的に普及している仕組みです。
しかし、この仕組みにおいてサーバーがどのようにふるまうかを見てみると、
送られてきたIDとパスワードとの組合せが、
サーバー自身に登録してある組合せと一致しているかどうかを確認するだけで、
送ってきた人の身分証明書を確認しているわけではありません。
もし、そのIDとパスワードを送ってきているのがそのIDの本来の持ち主以外だったらどうでしょうか?
サーバーは、その送り主にサービスへのアクセスを許可してしまいます。
このような事態をどのようにして防ぐかが、情報セキュリティにおける最大の課題の1つとなっています。
この課題を解決すべく努力を続けることが情報セキュリティの使命と言えるかもしれません。