「二段階認証」「PCI DSS」の解説

二段階認証とは?

「二段階認証」とは、ID/パスワード入力の他に、アプリでのログイン可否の選択や、セキュリティコードの入力を追加することで、利用者以外が不正に情報にアクセスすることを防止する仕組みのことです。

一般的にソフトウェアやWebサイトにログインする場合、「IDとパスワードを入力」します。しかし、「二段階認証」の場合では、さらに指紋やSMSなどもう一度認証作業が必要となります。つまり、一度ではなく「二度の認証を行うこと」を二段階認証と呼びます。

「二段階認証」には、いくつかの方法がありますが、大きく分け、以下の2通りに分けられます。

  • IDとパスワードのような同じ種類の認証を2回行う
  • 違う種類の認証を2つ組み合わせる(二要素認証)

認証の方法としては、IDとパスワードという従来からある一般的な認証方法とは別に、指紋や手のひらの静脈パターンのような生体情報、解錠カードなど所有物による所持情報によるものなどがあります。二段階認証では、2つを組み合わせて利用されます。

ここで、「二段階認証」をすることのメリットも紹介していきます。従来の単一の認証方法では、それが攻撃によって突破されるとアウトです。しかし、二段階認証になると最初の認証が突破されても、もう一つの認証でブロックすることができます。さらに、二要素認証として複数の認証方法を組み合わせることで、さらに攻撃に対する防御力を高めることが出来ます。

このように、悪意を持った第三者によって認証を突破されるリスクは非常に低くなり、強固なセキュリティを実現することができるようになっています。

二段階認証に関する問題

情報システムにおける二段階認証の例として,適切なものはどれか。
   ア.  画面に表示されたゆがんだ文字列の画像を読み取って入力した後,利用者IDとパスワードを入力することによって認証を行える。
   イ.  サーバ室への入室時と退室時に生体認証を行い,認証によって入室した者だけが退室の認証を行える。
   ウ.  利用者IDとパスワードを入力して認証を行った後,秘密の質問への答えを入力することによってログインできる。
   エ.  利用者IDの入力画面へ利用者IDを入力するとパスワードの入力画面に切り替わり,パスワードを入力することによってログインできる。

出典:令和3年度 春期 ITパスポート試験公開問題 問60

◆確認問題の解答(ウ)、解説・・・各選択肢の解説は、次の通り。

  • ア:ゆがんだ文字列を読み取って入力させることで、自動プログラムによる不正操作を防ぐ仕組みをCAPTCHAと言います。ゆがんだ文字列は人間であれば読み取れるようになっている(秘密の情報ではない)ので、CAPTCHAとID・パスワードの組合せは二段階認証に該当しません。
  • イ:アンチパスバックの説明になります。
  • ウ:正解です。IDとパスワードで認証した後に、別の情報で認証を行っているので二段階認証になります。
  • エ:パスワードを入力するまでは認証に成功したとは言えないため、二段階認証ではありません

PCI DSSとは?

「PCI DSS」とは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準のことです。

created by Rinker
¥2,200 (2022/05/22 22:57:41時点 Amazon調べ-詳細)

「PCI DSS」では、「Payment Card Industry Data Security Standard」の頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した「PCI SSC(Payment Card Industry Security Standards Council)」によって運用、管理されています。

「PCI DSS」が設立される前は、各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、現在では、一般的に、ひとつの加盟店で複数のカードが使える仕組みとなっています。そのため、各ブランドの要求に対応しなくてはならない加盟店は、非常に大きな負荷となってしまいます。

なお、その状況とは裏腹に、インターネットの普及に合わせ、国境を隔てたネット決済の普及とともに、極めて大規模なクレジットカード被害も世界規模で発生するようになり、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認ではますます不十分となってきました。

ここで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。

「PCI DSS」を遵守することにより、企業価値(信用、ブランド)の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義できます。現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減することができます。

PCI DSS(バージョン3.2)には、カード会員データおよび取り引き情報を保護するための以下12要件が規定されています。

  1. ネットワークとシステムの安全な構成
  2. システムのデフォルトパスワードの変更
  3. 保有するカードデータの保護
  4. 送信するカードデータの暗号化
  5. システムとウイルス対策のアップデート
  6. 安全なシステムの開発と保守
  7. カードデータの利用目的の制限
  8. システムへのアクセス制限
  9. カードデータへのアクセス制限
  10. システムやカードデータへのアクセスログ監視
  11. システムと手順の定期的な確認
  12. 担当者の情報セキュリティ方針の徹底

PCI DSSに関する問題

クレジットカードの会員データを安全に取り扱うことを目的として策定された,クレジットカード情報の保護に関するセキュリティ基準はどれか。
   ア.  NFC
   イ.  PCI DSS
   ウ.  PCI Express
   エ.  RFID

出典:令和3年度 春期 ITパスポート試験公開問題 問61

◆確認問題の解答(イ)、解説・・・各選択肢の解説は、次の通り。

  • ア(NFC):「NFC」とは「Near Field Communication」の略であり、至近距離(数cmから1m)での無線通信について定めた国際標準規格で、非接触型ICカードの技術に基づいて開発されたものになります。
  • イ(PCI DSS):正解です。「PCI DSS(PCIデータセキュリティ基準)」とは、クレジットカード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同により策定された基準にことです。クレジットカード関連サービスを提供する企業は、カード会員データを保護するためにPCI DSSに規定された技術面および運用面の要件をセキュリティ基準のベースラインとして利用ができます。
  • ウ(PCI Express):「PCI Express」とは、マザーボードに取り付ける拡張スロット用のインタフェースのことです。レーン数によって「×1」「×4」「×16」などのサイズがあります。なお、PCIは Peripheral Component Interconnect の略で、PCI DSSのPCI(Payment Card Industry)とは意味が異なります。
  • エ(RFID):「RFID」とは、「Radio Frequency IDentification」の略であり、ID情報を埋め込んだRFタグ(ICタグ)と電磁界や電波を用いることで、数cm~数mの範囲で情報のやり取りを行う技術のことです。