認証の目的は、リソースにアクセスしようとしている人が実際に本人であることを確認することです。 ご想像のとおり、認証を処理するにはさまざまな方法があり、最も一般的な方法には、多要素認証(MFA)やシングルサインオン(SSO)などがあります。
ただし、これらの方法は、根本的な技術的複雑さの表面をすくい取るだけです。 認証方法を実装するには、企業は最初に認証プロトコルを確立する必要があります。 企業は、複数の認証方法を組み合わせることを選択する場合もあります。 問題は、どこから始めればよいのかということです。
このガイドでは、企業が個人のIDを確認し、システムを安全に保つために使用できる最も一般的な認証方法の概要と、最も一般的なプロトコルについて説明します。
内容
- 認証と承認
- 認証方法と認証プロトコル
- 認証方法
- MFAと2FA
- SSOとMFA/2FA
- SSOとMFA/2FAを一緒に使用できますか?
- 認証プロトコル
- SAMLと残りの部分
- SAMLがビジネスに最適な理由
- サイバーセキュリティとデータガバナンスのサポート
認証と承認
認証の複雑さに飛び込む前に、「認証」と「承認」の違いを理解する価値があります。これらXNUMXつの概念は密接に関連していますが、XNUMXつの異なる目的を果たします。
認証は、ユーザーのIDを検証しようとします。 それが行われると、承認は彼らの許可レベルを確認します。 たとえば、ユーザーが会社のデータベースに入るには認証が必要ですが、承認は、ユーザーが表示および変更できる情報を決定するものです。
認証と承認の両方がサイバーセキュリティの基本ですが、認証が基盤であるため、そこから始めましょう。
認証方法と認証プロトコル
「メソッド」と「プロトコル」という用語には、認証のXNUMXつの異なる意味があります。 認証プロトコルは、検証のルールをレイアウトする基盤となるフレームワークです。 たとえば、パスワード認証プロトコル(PAP)では、ユーザー名とパスワードを入力して、自分が誰であるかを確認する必要があります。
一方、認証方法はプロトコルの上にあります。 企業には、プロトコルに対してユーザーの情報を検証するのに役立つ複数の認証方法がある場合があります。 たとえば、ユーザー名とパスワードを入力する場合がありますが、電話に送信されるコードを使用して本人確認を求められる場合もあります。これは、2要素認証(XNUMXFA)と呼ばれる方法です。
XNUMXつまたは複数の認証方法を使用すると、認証プロトコルは、ユーザーが本人であるかどうかを非常に自信を持って確認できます。 以下は、さまざまなタイプの認証方法とプロトコルを詳しく見て、最も一般的なオプションを並べて比較したものです。
認証方法
企業は、システムのセキュリティを向上させるためにXNUMXつ以上の認証方法を使用する場合があります。 一般に、より機密性の高い情報やより高い特権を持つユーザーが関与する場合は、適切な状態を維持するために、より多くの認証方法を有効にして適用する必要があります。 もちろん、セキュリティの向上は利便性のトレードオフとして生じることが多いため、適切な方法を選択することが重要です。
MFA
多要素認証には、少なくともXNUMXつの認証方法が必要です。 パスワードだけでは安全とは見なされなくなったため、これはより一般的になりつつあります。 高度なツールを使用すると、サイバー犯罪者は比較的簡単にパスワードを解読できます。特に、ユーザーがサイト間でパスワードを再利用したり、十分なセキュリティを確保できなかったりして、パスワードの適切な管理に従わない場合はなおさらです。
多要素認証では、ユーザーはユーザー名とパスワードの入力を求められます。 一致する場合、コードは認証アプリ、電話番号、電子メール、またはユーザーのみがアクセスできるはずの別のリソースに送信されます。 次に、ユーザーはログインページにそのコードを入力します。 多要素認証の場合、この方法を複数回繰り返すことがあります。
たとえば、ユーザー名とパスワードを入力した後、ユーザーは、ファイルにある自分の電話番号に送信されたコードを確認するように求められる場合があります。 次に、ファイルにある電子メールに送信されたコードを確認するように求められる場合があります。 ご想像のとおり、このプロセスは非常に安全ですが、すぐに不便になる可能性があります。
2FA
二要素認証(2FA)は、MFAのサブセットです。 唯一の違いは、2FAには正確にXNUMXつの検証方法が必要であるということです。つまり、上記の方法のXNUMXつに加えて、ユーザーのパスワードを入力する必要があります(たとえば、電話、電子メール、アプリなどに送信されたコードを検証する)。
二要素認証は、ユーザーに多くの不便を与えることなく、パスワードのみよりもはるかに高いセキュリティを提供するため、消費者向けアプリケーションでより一般的になりつつあります。
SSO
シングルサインオン(SSO)は、サインインの必要性をまったくなくすことにより、ユーザーに最も便利なものを提供することを目的とした認証方法です。 使用するすべてのWebサイトとアプリケーションのユーザー名とパスワードを入力する代わりに、Webサイトはログインなしでユーザーを認証するのに役立つIDプロバイダーに接続します。
ユーザーはIDプロバイダーでアカウントを作成し、頻繁にログインする必要がありますが、そのIDプロバイダーにログインしている限り、参加しているすべてのWebサイトとアプリが自動的に認証します。
企業の設定では、SSOプロバイダーを使用すると、従業員はXNUMX日にXNUMX回だけログインする必要があります。 そこから、認証はバックグラウンドで行われ、IDプロバイダーは、SSOを使用するように設定したすべてのWebサイトおよびアプリと検証キーを交換します。
MFAと2FA
XNUMX要素認証と多要素認証の最大の違いは使いやすさです。 多要素認証は、ユーザーに確認を求める回数が多いほど、不正アクセスのために残しておく余地が少なくなるため、本質的に安全です。
ただし、ログインのたびにユーザーにパスワードの入力、番号の確認、電子メールの確認などを依頼する場合も、はるかに遅く複雑になります。 アプリへのアクセスを難しくすると、セキュリティが向上する可能性がありますが、ユーザーエクスペリエンスも損なわれます。 したがって、2FAは、パスワードだけでセキュリティが大幅に向上する中間点を見つけるよう努めていますが、多くの不便を加えることはありません。
SSOとMFA/2FA
MFAのセキュリティが気に入った場合は、SSOを使用するのは危険に思えるかもしれません。 ただし、適切なIDプロバイダーと提携する場合、SSOは非常に安全です。 SSOの最大の利点は、ユーザーフローを大幅に高速化し、ユーザーエクスペリエンスを向上させることです。
さらに、ユーザーはXNUMXつのパスワード(IDプロバイダーにパスワードを取得するパスワード)を覚えるだけでよいため、適切なパスワード衛生を使用して、真に安全なパスワードを作成する可能性が高くなります。
セキュリティに関しては、MFAがSSOよりも安全であるかどうかは、実装方法によって異なります。 XNUMXつ確かなことは、SSOの方がはるかにユーザーフレンドリーであるということです。
SSOとMFA/2FAを一緒に使用できますか?
SSOとMFAは絶対に一緒に使用でき、実際には、使いやすさと保護のバランスをとる最も安全なソリューションと見なされています。 両方を使用するために、ユーザーはXNUMXつのパスワードを覚えるだけで済みます。つまり、安全なパスワードを使用する可能性が高くなります。 しかし、それでもサイバー犯罪者の邪魔になるパスワードはXNUMXつだけです。
ビジネスで最も機密性の高いデータやアプリを保護するために、セキュリティの追加レイヤーとしてMFAを実装できます。 ユーザーフローは次のようになります。ユーザーはSSOプロバイダーにログインします。これにより、ユーザーは任意のアプリまたはサイトにアクセスできます。 ただし、さらに保護したいデータベースまたはアセットがある場合は、MFAを使用してそれらをもう一度検証できます。
SSOを使用するということは、リソースにパスワードを使用する必要がないことを意味しますが、MFAは、追加の保護が必要なものにアクセスする前に、電話、アプリ、または電子メールのコードで自分自身を確認します。 会社を保護するために、これらの方法を同時に使用することを検討することを強くお勧めします。
認証プロトコル
認証プロトコルは、ユーザーが本人であることを確認するための基本的なルールを示しています。 最も安全性の低いプロトコルはパスワード認証プロトコル(PAP)と呼ばれ、データベースに保存されているパスワードと一致するパスワードを入力するようにユーザーに要求するだけです。 PAPは暗号化を利用しないため、安全でなく、古くなっていると見なされます。
セキュリティを向上させることを目的として、他の多くの認証プロトコルが何年にもわたって導入されてきました。 最も一般的なものを見てみましょう。
- SAML:SAMLは、Security Assertion Markup Language(SAML)の略です。 これは、ユーザーがIDプロバイダーにログインできるようにすることでSSOをサポートするように設計されています。これにより、参加しているサービスプロバイダーを通じてアプリまたはサイトへのアクセスを要求するたびにIDが検証されます。 SAMLは、複数のログインを必要とせずに、複数のアプリへのユーザーアクセスを簡素化するように設計されています。
- OAuth:OAuthは「OpenAuthentication」の略です。 これにより、アプリは「安全な指定アクセス」を許可できます。 これは、Web上で最も人気のある認証プロトコルのXNUMXつです。 たとえば、Facebookはこれを使用して、ユーザーがユーザーのFacebookパスワードを共有せずに、タイムラインを表示および投稿する許可をWebサイトに付与できるようにします。
- OIDC:承認サービスであるOAuth 2.0に基づいて構築されたこのプロトコルは、承認サービスの上に単純なIDレイヤーを追加し、クライアント/サービスプロバイダーがエンドユーザーのIDを確認できるようにします。
- LDAP:ライトウェイトディレクトリアクセスプロトコル(LDAP)は、迅速な認証のために設計されました。 ユーザー情報はActiveDirectory(AD)に保存され、LDAPを使用して使用可能な形式でのみ抽出できます。
これらすべての認証プロトコルが市場に出回っているため、企業がユースケースに最適なプロトコルを判断するのは難しい場合があります。 ただし、セキュリティと信頼性に関しては、SAMLは業界標準と見なされています。 以下は、SAMLと他の認証プロトコルの比較です。
SAMLと残りの部分
シングルサインオン(SSO)の実装に使用できるプロトコルはSAMLだけではなく、SAMLプロトコルで使用できる認証方法はSSOだけではありませんが、このXNUMXつは互いに同義語になっています。 しかし、非常に多くのオプションがあるのに、なぜSAMLが最良と見なされるのでしょうか。
SSOの目的でSAMLを使用することの最も重要な利点のXNUMXつは、オープンスタンダードであるということです。 これは、プロバイダーとベンダーがSAML標準に準拠していることを前提として、相互に簡単に対話できることを意味します。 さらに、SAMLはXMLを使用するため、非常に柔軟性があります。 XMLでレンダリングできる限り、あらゆる種類のデータを転送できます。
これらの詳細を念頭に置いて、一部の企業はまだSAMLとOAuthの間で議論しています。 OAuthはSAMLよりもいくらか新しいですが、一部はSAMLの欠点を補うために、GoogleとTwitterによって開発されました。 そのため、OAuthはXMLではなくJSONを使用します。
SAMLとOAuthのもうXNUMXつの主な違いは、OAuthが認証目的ではなく、承認ネットワークとして作成されたことです。 OpenID Connectレイヤーは、認証を処理するためにOAuthの上に配置され、かなり後にリリースされました。 もうXNUMXつの差別化要因は、ユースケースです。GoogleとTwitterは、インターネット全体で使用するためにOAuthを設計しました。 SAMLはオープンインターネットを念頭に置いて設計されていますが、クローズドエンタープライズネットワークに最適です。
リストを調べて、ここに記載されている他のすべてのプロトコルの横でSAMLを個別に比較すると、SAMLがすべてのアプリケーションに最適であるとは限らないことがすぐに明らかになりますが、より優れた認証を確立しようとしている企業にとっては、SAMLが明らかに勝者です。彼らのユーザー。 また、ビジネスで使用するための最速のソリューションとして広く認識されています。
SAMLがビジネスに最適な理由
SSO機能の追加に関心のある企業の場合、多くの企業は独自のソリューションを作成する道をたどる傾向があります。 多くの場合、このプロセスは善意で始まり、通常、独自のソリューションが最も安全で、最も柔軟性があり、さらには最も費用効果が高いという誤った考え方の下で始まります。
実際には、独自のSSOソリューションが意図したとおりに機能することはめったにありません。 エンタープライズレベルでは、独自のSSOソリューションを実装することは、各アプリまたはソフトウェアとの接続に新しい統合または実装が必要になることを意味する可能性があります。これは、主要な開発リソースと多くの不必要な複雑さを表しています。
独自の認証プラットフォームを作成することを考えている場合は、よく考えてください。 SAMLのような信頼できるプロトコルを使用することで、開発リソースをXNUMXつの実装に投資し、多くの複雑なコーディングやテストを必要とせずに、非常に多くのパートナーと簡単に接続できます。
SAMLは、信頼性が高くスケーラブルな認証プロトコルを必要とする企業にとって理想的です。 XMLに基づいて構築されているだけでなく、開発者が将来のユーザーに実装方法に関して多くの余裕を提供しているため、柔軟性があります。 たとえば、必要に応じて、認証プロセスに複数のIDプロバイダーを関与させることもできます。
明らかに、SSOの実装に理想的であるため、SAMLも推奨されます。 認証方法に関しては、SSOとMFAの組み合わせが新しい標準と見なされているため、SAMLを選択すると、セキュリティとユーザーエクスペリエンスの向上のニーズを満たすためにサイバーセキュリティの実践が進化するにつれて、ビジネスが強固な基盤になります。
全体として、SAMLは、特にエンタープライズレベル、特にSSOにとって、認証のための信頼できるプロトコルであることを証明しています。 それで、あなたはここからどこへ行きますか? ほとんどの場合、企業はSAMLを使用するSSOプロバイダーを探したいと思うでしょう。 いくつかの例が含まれます OneLogin.
サイバーセキュリティとデータガバナンスのサポート
適切な認証プロトコルと方法を見つけることは、組織のサイバーセキュリティを形成するための基本です。 しかし、それはパズルの唯一のピースからはほど遠いです。 サイバー攻撃が日々頻繁になり、高度化するにつれて、企業は一歩下がってサイバーセキュリティとデータガバナンスの手順全体を検討する時間を見つけることが重要です。
データガバナンスは、サイバーセキュリティの会話における地位を急速に確保しています。 コンプライアンスとデータプライバシーに関係するだけでなく、所有しているデータ、データを保護する方法、データにアクセスできるユーザー、データが流出した場合にどうなるかを知ることも意味します。 したがって、認証を検討している組織は、データガバナンスについても検討する必要があります。
将来的には、データガバナンスの重要な要素のXNUMXつは透明性です。 組織のデータ資産を可視化しないと、サイバーセキュリティチームは何を保護する必要があるのか、それをどのように行うのかを知りません。 そのため、LogicMonitorのような監視システムは、サイバーセキュリティとコンプライアンスに加えて、日常の運用効率にとって非常に貴重であることが証明されます。LogicMonitorは、セキュリティ、アクセス、可視性、およびコンプライアンスを大規模にサポートするように設計されたクラウドベースのインフラストラクチャ監視ツールのセットを提供します。 LogicMonitorがビジネスの可観測性を達成し、無駄なITリソースを削減するのにどのように役立つかについて詳しく知りたいですか? 今すぐ無料でお試しください 自分で見てください。