認証とは、事実または文書が本物かどうかを証明するためのプロセスを指す言葉です。コンピューターサイエンスでは、この言葉は通常ユーザーの ID に関連しています。一般的に、ユーザーは、各自の認証情報を提供する、つまり、合意された情報をユーザーとシステムの間で共有することによって ID を証明します。

ユーザー名とパスワードの組み合わせは、最も一般的な認証メカニズムで、パスワード認証としても知られています。

よく知られている例は、Facebook や Gmail などウェブサイトやサービスプロバイダーのユーザーアカウントへのアクセスです。自分のアカウントにアクセスできるようにするには、正確なログイン認証情報を証明しなければなりません。サービスを提供する側は、通常、ユーザー名とパスワードを尋ねる画面を表示します。そして、ユーザーが入力したデータを、内部リポジトリ内にあらかじめ保存された値と比較します。

ユーザーがこれらの認証情報の有効な組み合わせを入力すれば、サービスプロバイダーは、ユーザーが続行し、アカウントにアクセスできるようにします。

ユーザー名が開示される可能性はありますが、メールアドレスやパスワードは、誰にも知られないようにしなければいけません。この機密性を保つため、パスワードは、サイバー犯罪者から盗まれないよう保護する必要があります。実際、ユーザー名とパスワードは、インターネット上で広く使われていますが、ハッカーが定期的に狙う、脆弱なセキュリティメカニズムであることはよく知られています。

それらを保護する1つ目の方法は、悪意のある攻撃者が簡単に推測できないよう、パスワードを強化する、つまり複雑化させることです。大雑把に言うと、小文字や大文字、数字、特殊文字を複雑に組み合わせると強力なパスワードをつくることができますが、文字を単純に組み合わせただけでは脆弱なパスワードとなります。

エンドユーザーは、脆弱なパスワードを使いがちだと言われています。SplashDataの年間レポートによると、あるインターンネットセキュリティ企業が、最も一般的なパスワードを25個特定したそうです。データ漏洩に晒された何百万ものパスワードに基づいたリストによると、何百万人ものユーザーが、「123456」や「password」のようなパスワードを使って認証を行っていることが判明しています。

その上、さまざまなウェブサイトやサービスで同じパスワードを頻繁に再利用しています。

これらの状況が組み合わさることが、セキュリティ上の問題の引き金となる可能性があります。脆弱なパスワードは簡単に推測できるだけでなく、その漏洩したパスワードは、同じユーザーの複数のサービスへのアクセスに使用されるからです。

一方、認証に強力なパスワードを用いると、ブルートフォース（総当り攻撃）に持ちこたえることはできますが、フィッシング、キーロガーソフトウェア、パスワードスタッフィングのような攻撃には歯が立ちません。このようなタイプの攻撃は、ユーザーのパスワードを推測しようとはせず、直接、ユーザーから盗み出します。

パスワードも安全に保管されていなければ、やはり問題となります。たとえば、最近のニュースで Facebook は、何百万件もの Instagram パスワードをプレーンテキストで保管していたことが分かった.という報告がありました。パスワードは、常にhashingなど、最も適切な方法を用いて保管されなければいけません。

ユーザー名やパスワードのような認証情報の特定のカテゴリーのことを認証要素と呼びます。パスワード認証が最もよく知られた認証タイプですが、認証要素は他にもあります。認証要素は、次のように、3つのタイプに分けられます。

個人が知っていること（例：パスワード）

個人が持っているもの（例：スマートフォン）

個人自身のもの（例：生体認証）

「個人が知っていること」

この認証要素は、ユーザーに対しユーザー自身が知っていることを示すよう求めます。典型的なのは、ユーザーと ID アクセス管理（IAM）システムの間で共有されるパスワードや個人の識別（ID）番号（PIN) です。

この要素を使用する場合、システムがユーザーにその共有情報を提供するように要求します。

「個人が所有しているもの」

この場合、ユーザーは、スマートフォン、スマートカード、メールボックスなどユーザー自身が所有しているものを証明する必要があります。システムは、要求された認証要素をユーザーが所有していることを確認するためのチャレンジを提示します。たとえば、テキストメッセージでタイムベース（時間制限付き）のワンタイムパスワード（TOTP）をユーザーのスマートフォンに送信するかもしれません。もしくは、メールでテキストコードを送信するかもしれません。

「個人自身のもの」

この認証要素は、ユーザー自身の中に存在するものに基づいた、ユーザーの先天的な情報（固有要素）です。通常、この情報は指紋や音声などの身体的特徴のことです。顔認識もこのタイプの認証要素に分類されます。

たった1つの要素に基づいた認証プロセスは、一要素認証と呼ばれています。

通常、それはユーザー認証にユーザー名とパスワードを使う一般的なケースを指しますが、その他の認証要素にも使われています。 すでにお話したように、パスワード認証は、脆弱な認証メカニズムです。調査結果によると、およそ76%の企業 が、フィッシング攻撃に遭遇しており、 データ漏洩の81%](https://www.verizondigitalmedia.com/blog/2017-verizon-data-breach-investigations-report/) は、盗まれたパスワードや脆弱なパスワードに基づいています。

認証要素を追加することで、認証プロセスの安全性を強化することができます。たとえば、自分の Googleアカウントで、ユーザー名とパスワードに基づいて、いつもの認証を行った後、モバイルデバイスに通知の転送を有効にすることができます。この場合、二要素認証（2FA）、つまり、2つのカテゴリーの認証情報に基づいた認証メカニズムである「知っていること（知識）」と「所有しているもの（所有物）」を利用しています。 2つ目の要素を追加することで、アカウントはより安全になります。実際、攻撃者がパスワードを盗んだとしても、2つ目の認証要素がないため、認証することができません。

ID の安全性をより一層強化するために複数の認証要素を組み合わせることができます。この場合、多要素認証（MFA）を使っています。もちろん、2FA は、MFA の1形式です。

その名のとおり、パスワードレス認証とは、パスワードを使わない認証メカニズムのことです。このタイプの認証を利用する主な目的は、パスワード疲労、つまり、強力なパスワードを覚えておき、かつ、安全に保管しておかなければならないという労力を軽減することです。

パスワードを覚えておく必要性がなければ、フィッシング攻撃は役に立ちません。

個人の所有物や固有要素に基づいたあらゆる認証要素を使って、パスワードレス認証を実行することができます。たとえば、メールや顔認識を介してコードを送信することで、ユーザーがサービスやアプリケーションにアクセスできるようにすることができます。

サービスとしての ID の企業 Auth0 では、認証は、常にサービスの中核にあります。毎月、Auth0 は、あらゆる規模の企業のシステムを安全に守るため、25億件ものプロセスを取り扱っています。Auth0 の社員全員が、認証プロセスをより安全に、かつ、より簡単に実装できるよう努めています。

ISO27001 および SOC 2 タイプ II のコンプライアンス認定証 から、 漏洩されたパスワードの検出のようなセキュリティ機能まで。Auth0 の社員は、あらゆる企業のニーズに合った世界レベルの認証ソリューションを提供するため、日夜、働いています。認証について、または、安全な実装のための Auth0 からの支援について詳しく知りたい方は、このトレーニングをご確認ください。

[IAM 入門ページ]（https://auth0.com/intro-to-iam/）で、さらに多くの、ID とアクセスの管理に関するトピックをご覧ください。