この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。
これまで何度か、出てきた「アクセスコントロール」という言葉をより詳しく紹介すると、次の3つを実装したシステムを指します。
- 識別
- 認証
- 権限管理
それぞれ、紹介しましょう。
アクセスコントロールの種類
識別
ユーザーIDやメールアドレスを使って、誰がシステムを利用しているかを識別する機能です。
認証
パスワードなどを使って、先の識別情報が本人のものであることを確認する機能です。
認可
各ユーザーに適切な権限を設定し、アクセスして良い情報にのみ認可を与える機能です。
これらを実装して、初めて適切なアクセスコントロールが可能になります。
パスワード認証
アクセスコントロールのうち、識別と認証を行うためにログイン画面をもうけることがよくあります。この時、最も古くから利用されているのが「パスワード認証」です。他に「クリアテキスト認証」などとも呼びます。
本人しか知り得ないパスワードをアカウント情報(IDやメールアドレス)などと一緒に入力してもらうことで、本人であることを認証します。
パスワード認証の欠点
パスワード認証は、攻撃手法のところでも紹介したとおり、常にさまざまな攻撃にさらされます。そこで、パスワードを決める際は次のような注意が必要です。
- メモなどに書き残さない
- 十分に長い複雑な英数字の組み合わせを使う
- 数回パスワードを間違えたらロックするシステムにする
- ショルダーハッキングに気をつける
- 複数のサイトで使い回しをしない
とはいえ、このような複雑なパスワードは覚えきれないため、忘れてしまいます。そこで、「パスワード管理ツール」や「パスワードリマインダー」が利用されます。
パスワード管理ツール
複雑な文字列のパスワードを作成し、それをシステム内に保管します。パスワードの安全性は増しますが、管理ツールが流出した場合などの被害は大きくなるため、これに強固な認証が必要になります。
パスワードリマインダー
パスワードを忘れたときに、再発行するためのしくみです。メールアドレスや場合によっては誕生日などを使って本人を認証し、パスワード再発行のアドレスを生成します。