クライアント認証とは?
クライアント認証とは、コンピューターシステムやネットワーク、サービスなどにアクセスする際、アクセス元となるユーザーまたはクライアントがインストール済みのクライアント証明書をアクセス先に提示して、アクセス先が正当なユーザーであることを認証するための仕組みです。
この仕組みにより、ユーザーまたはクライアントはクライアント証明書をインストールしてないとアクセスができなくなります。
なお、この仕組みには「PKI(Public-Key Infrastructure)」という公開鍵と秘密鍵のキーペアで構成される公開鍵暗号方式を利用した認証基盤を利用しており、上述の認証方式は「SSL クライアント認証」とも呼ばれています。
この「SSL クライアント認証」は、クライアント証明書に加えて、ほかにアクセス先のコンピューターシステムやネットワーク、サービスなどにおいて、SSL/TLS 通信を行うための「SSL/TLS サーバー証明書 」が必要となります。
クライアントとアクセス先・利用シーン
1. クライアント
「クライアント」には以下のようなものがあります。
- コンピュータ(Windows PC/Mac/Chromebook など)
- スマートフォン(iPhone/Android など)
- Web ブラウザや VPN クライアント などのアプリケーション
- スマートカード、USB トークン などの外部媒体
- サーバー間通信(Server-to-Server)時のサーバー など
2. クライアントのアクセス先
クライアントのアクセス先には、以下のようなものがあります。
- 各種サーバー
- 各種クラウドサービス
- 各種ゼロトラストソリューション
- リモートアクセス (VPN)
- IDaaS(Identity as a Service)
- シングルサインオン(SSO) など
3. 利用シーン
実際の利用シーンとしては、以下のようなケースがあります。
- オンラインバンキング利用時のログイン認証
- クラウドサービスのログイン認証
- ソーシャルネットワーキングのログイン認証
- IDaaS やシングルサインオン(SSO)のログイン認証 など
クライアント証明書とは?
クライアント証明書とは、認証局(CA:Certification Authority)によって個人や組織、あるいは端末を認証し発行される電子証明書のことです。
上述の「PKI(Public-Key Infrastructure)」という仕組みを用いているため、クライアント証明書が偽造されにくく、高い信頼性を備えています。
クライアント認証の流れ
実際のクライアント認証は、以下のような流れで行われます。
上記図解のとおり、電子証明書を使用した認証を行う場合、アクセス元から提示された証明書が偽造されていないか、その証明書の発行元は信頼できるか、その証明書は有効か(期限切れや失効済みではないか)といった確認がアクセス先で行われます。
そして、上述の確認結果、「いずれも問題なし」とアクセス先が判断した場合、その証明書の提示を行った相手が正しいとみなされ、アクセス先はアクセスを許可します。
クライアント認証のメリット
1. 安全性の向上
ID・パスワードに加えて、クライアント証明書の提示を必須する設定(二要素認証)や、ID・パスワードを使用させずにクライアント証明書の提示のみでログイン可能とする設定も可能です。
そのため、ID・パスワードの使いまわしや漏洩などの理由により安全性が低下した場合でも、悪意のある第三者の不正アクセスを防止できます。
加えて、クライアント証明書のインストール先を管理・制限することで、第三者や組織の管理外の端末からのアクセスをブロックすることも可能です。
以上のことから、クライアント認証の導入により安全性が向上します。
2. ユーザーの利便性向上
ユーザーの利便性向上
アクセス先がクライアント認証に対応していれば、ユーザーは1枚のクライアント証明書で様々なコンピューターシステムやネットワーク、サービスにアクセス可能となるため、パスワードを管理する必要がなくなり、ユーザーの利便性が向上します。
3. AiTM フィッシング耐性
AiTM は、攻撃者がターゲットユーザーとユーザーがアクセスしたい Web サイト(攻撃者が偽装したいサイト)の間にプロキシサーバーを配置し、ターゲットのパスワードと Web サイトとの継続的かつ認証されたセッションを証明するセッション Cookie の窃取を目的としたフィッシング攻撃です。
AiTM は、より強固な多要素認証 (MFA: Multi-Factor Authentication) を設定していても、この認証プロセスを回避して不正アクセスを可能します。
クライアント認証は、この AiTM フィッシング にも有効である、数少ない手段の一つです。
NRA-PKIクライアント証明書で安全・効率的に運用
弊社が提供する「NRA-PKIクライアント証明書」は、業界随一の低コストを実現した、SaaS型のサービスです。
「NRA-PKIクライアント証明書」を利用したPKI認証は、利用者の利便性を損なうことなく高度な認証セキュリティを実現することが可能となりますので、是非弊社営業までご相談ください。
NRA-PKIクライアント証明書についてはこちら
※出典:電子認証局サービスBLOG(2023年6月26日)
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/client-certificate-authentication.html
