認証
en : authentication
主体が誰なのか、そして、誰であると主張しているのかをシステムが保証するためのもの
認可に先駆けて行うもの
非公開システムにおける認証を成り立たせる要素 (認証の 3 要素のうちのいずれかひとつまたは複数)
知識情報だけでは攻撃されやすいため、最近は多要素認証が増えている
公開システムでユーザーを認証するためには独立した第三者機関が必要
電子証明書による認証
ターキテクチャの観点からすると、認証方式は抽象化しておくとよい
最初はパスワードだけで認証し、後から追加、ということがしやすいように
『ゼロトラストネットワーク[実践]入門』 より
ゼロトラストにおける認証 : シングルサインオンと多要素認証を基本とし、FIDO などの技術を活用することが有効
クラウド型 IAM サービスが有力な選択肢
ID プロビジョニング機能や ID 関連の脅威情報機能があるかどうかなどを見ること
運用上の留意点
削除すべき ID が残っているなどのガバナンスの欠如
ID 管理運用にもガバナンスの維持が必要であることは IGA (Identity Governance and Administration) という言葉・概念で提唱されている
from ゼロトラストネットワーク ―― 境界防御の限界を超えるためのセキュアなシステム設計
認証は、真正性を目的とする
メッセージを送信したのが本人であることを受信者が検証できる
完全性 (integrity) も
送信者とそのメッセージが書き換えられていないことを検証できる