「認証」とは？（AuthenticationとVerification）

• アカウントの「認証」とは、かんたんに言えば「本人確認」のこと。
  たとえば、オンラインサービスを利用する際に、あなたが本人であることを確認するプロセスです。
• 認証の判断材料には「生体情報」「所持情報」「知識情報」の3つの要素があり、それぞれ顔や指紋、ICカード、パスワードなどが使われます。
• 最近は、セキュリティを強化するために、これらの要素を組み合わせた「多要素認証」が推奨されています。

AuthenticationもVerificationも「正しさを証明するもの」という意味は共通ですが、語源をたどってみると権威（人・社会）によるのか真理（神・自然）によるのかというニュアンスの違いがあるようです。

ただ、現在の実際の用法をみると、必ずしもそれだけですっきり分けられるわけでもありませんが。

1. もともとの「認証」の意味

「認証（Authentication）」は、情報社会以前から存在する概念です。
もともとは、以下のような場面で使われてきました。

1. 芸術作品の真贋判定：
   美術品や骨董品が本物であることを専門家が鑑定し、証明すること。
2. 文書の認証：
   契約書、証明書などの文書が正当なものであることを確認し、公的に認めること。
3. 身分の確認：
   パスポートや運転免許証などの身分証明書によって、本人であることを証明すること。

つまり、「モノやヒトが本物であるかを確かめ、保証する」という意味です。

1-1. オンラインでの「認証」の意味

コンピュータやオンラインサービスの普及に伴い、「認証（Authentication）」の用法は拡張されました。

以下のようなトラブルを想定して対処しないと安全に利用できないからです。

• アカウントの不正アクセス
  ユーザーのアカウント情報を守る。
• 機密情報の流出：
  重要な情報を扱うシステムでのアクセス範囲を限定する。
• 通信でのなりすまし：
  オンラインでの相手が本人であることを互いに確認する。
• ログの管理：
  システム内での履歴から問題の原因となるユーザーを特定する。

2. Authenticationは何を確認しているのか？（類語との違い）

「確認する」という意味の言葉には、いろんなものがあります。
漢字で書くとほとんど同じように見えますが、これらの用語の微妙な違いについても整理しておきます。

• Verification（検証）
• Identification（識別）
• Authorization（認可）
• Certification（認定）
• Validation（妥当性確認）

これらと比較してみると、「真正性（authenticity）」というキーワードが浮かび上がってきます。

2-1. Authentication と Verification

ただし、とくに「Authentication」と「Verification」はともに「認証」と訳され、意味・用法に重なりがあります。

たとえば、Googleの「二段階認証プロセス」は、「2-Step Verification」。

一応、微妙に焦点が違っていて、

• Authenticationは、身元や資格が有効なのか
• Verificationは、情報が真実で正確性なのか

を確認することに焦点があります。

ざっくり言えば、Verificationの方が範囲が広いです。
「身元を証明する情報の確認」という場面では重なるわけですね。

2-2. 「Authentication」の語源（自由意志と責任）

「Authentication」や「Authenticity」の語源は、ラテン語と古代ギリシャ語に遡ることができます。

「Authentication」の直接の語源は、ラテン語の形容詞「authenticus」です。
これは、「信頼できる、本物の、権威のある」といった意味を持っています。

「authenticus」は、さらに古代ギリシャ語の「authentikos」に由来し、これは、「authentes」という語から派生したものです。

古代ギリシャ語の「authentes」は、「autos」（自身の）と「hentes」（働き手、実行者）という二つの部分から成り立っています。
「自分自身の意志や権限に基づいて行動する人、主人、支配者」を意味する名詞で、ここから「信頼性」や「権威」という意味が生まれました。

「認証」は、偽物ではないと言い切るための手続きです。
では、どうして偽物ではなく本物であることに価値があるのでしょう？
本物の価値を担保しているのは、「誰が責任を取るか」がはっきりしていること。

ブランドに価値があるのは、そのデザイナーさんが「そのデザインでなくてはならない」理由を説明できるから、というのと似ているね。
これが見た目を真似しているだけでは、理由までは説明できないもん。

「E-E-A-T」の理想と現実（情報の選別の難しさ）

ざっくり言えば、「E-E-A-T」は「どこの馬の背かわからない人」よりも「一角の人物」から情報を得よう、という考え方です。 しかし、それが実現しているわけではないですし、実現したから便利になるとも限りません。 たとえば、自分で「聞き込み」をしたいような場合には、この選別はかえって煩わしいことがあるからです。 自分に不要な情報が検索結果に出てこないでほしいけど、それが何かは見てみないことには言えないんだよね。 結局、検索エンジンにしてほしい「仕事」って何なんだろう。 このプロフ...

chiilabo.com

SSLサーバ証明書はどこに保存されているの？（証明書ストア）

SSLサーバ証明書は、（基本的に）ウェブサーバ内の「証明書ストア」に保存されている暗号化されたファイルです。 サイトにアクセスがあると相手に提示して、通信内容が正しいことを証明するのに使われます。 YouTube動画でも話しています。 サイトがSSLサーバ証明書を取得する流れ お店のホームページを作っています。サイトの「セキュリティ保護」ができていないようなのですが、そもそもセキュリティ証明書の仕組みがよくわかりません。 どんな情報をどこに記載されていると、「セキュリティ保護...

chiilabo.com

2-3. 「Verification」の語源（真理を探求する）

一方、「Verification」の語源を遡ると、ラテン語の名詞「veritas」に行き当たります。
この言葉は、「真実、真理、誠実」などを意味し、古代ローマの哲学や法律の文脈で広く使用されました。

興味深いことに、「veritas」は古代ギリシャ語の「aletheia」（真理、真実）に相当する概念です。
「aletheia」は、「letheia」（隠されている、忘却）に「a-」（否定の接頭辞）が付けられた言葉。
ここでの「真実」とは「隠されていないもの、忘却されていないもの」の意味になります。

つまり、「Verification」の概念は、古代ギリシャの哲学的な真理探究の伝統とも結びついているのです。
Verificationでの本物の価値を担保するのは、「真理」なわけです。

ブランドで言えば、デザインそのものの美しさに説得力がある、って感じだね。

3. 認証のための情報（3要素）

認証で大事なものというと、「パスワード」をイメージしますが、それだけではありません。

1. パスワード認証：
   あなたが設定したパスワードを入力することで、本人確認を行います。
   パスワードは他人に推測されにくい、複雑なものを設定することが大切です。
2. メール認証：
   サービスに登録した際、あなたのメールアドレス宛に確認用のリンクが送られてきます。
   リンクをクリックすることで、メールアドレスが本人のものであることを証明します。
3. SMS認証：
   あなたの携帯電話にSMSやアプリで届く、ワンタイムコード（一回限りの番号）の入力が求められます。
   これにより、セキュリティがさらに強化されます。
4. 生体認証：
   指紋や顔認証など、あなたの身体的特徴を使って本人確認を行う方法です。

これらに限らず、さまざまな認証方法が考案されています。
認証に使われる情報は、主に3つの要素に分けることができます。

• 生体情報（Something you are）
• 所持情報（Something you have）
• 知識情報（Something you know）

3-1. 生体情報

もっとも基本的な認証情報は、「生体情報」。

いわば「顔パス」は古来から使われてきた方法。
本人の身体的な特徴を利用した認証方法で、顔だけでなく、指紋、虹彩、静脈パターンなどが使われます。

スマートフォンの生体認証

スマートフォンのロック解除でも、指紋や顔の生体認証を使えるようになっています。
めんどうな操作がいらないだけでなく、暗証番号などと違って、周りの人に盗み見られないのがメリット。

生体情報は他人に真似できない固有の情報で高いセキュリティを実現できます。
ただし、変更できないものなので、プライバシーへの配慮も必要です。

Face IDの反応が悪いので「もう一つの容姿をセットアップ」した（iPhone）

iPhoneのFace ID（顔認証）の反応があまり良くなくて、傾けたりしているとやっとロックが外れる状態でした。 そういう認識精度なのかと諦めていたのですが、久しぶりにセットアップをやり直してみました。 すると、スムーズにロック解除できるようになりました。 もしかして、顔が老けたってこと？ Face IDの「もう一つの容姿をセットアップ」 iPhoneの「設定」アプリから「Face IDとパスコード」を選択します。大事な設定なので、変更には iPhoneの端末パスコードの入...

chiilabo.com

神様に与えられた特徴は、人間が同じもの作ることはできないんだね。

3-2. 所持情報

次に、よく使われるのが「所持情報」。
つまり、モノを提示または使用する方法です。

ハンコや証明書などは、権力を示すために重要なモノでした。

水戸黄門の印籠みたいな感じだね。

現代では、ICカードや磁気カード、ワンタイムパスワードを生成するトークンデバイスなどが該当します。

「所持情報」のリスクは、紛失や盗難。
大切に管理する必要があります。

スマートフォンで認証する

スマートフォンそのものも所持情報として利用できます。

登録には、いくつか方法があります。

• 「SMS認証」は、事前に登録された電話番号が固有のモノだからです。
• 端末固有の番号を登録しておけば、端末自体が「パスキー」として使えます。
• あるいは、スマートフォンに「認証アプリ」を設定しておけば、ワンタイムパスワードを生成するトークンデバイスとして代用することもできます。

Instagramを「Google認証」アプリで二段階認証にする【ログインコードとデバイスの信頼】

Instagramの二段階認証を Google Authenticatorで設定をしました。 設定できたか確かめるために、Instagramの再ログインをしましたが、二段階認証の画面が出てきませんでした。 うまく設定できているのでしょうか？ もしかすると、Instagramのログイン状態が残っていたり、「信頼する」として記憶されているかもしれません。 Instagramの二段階認証をセットしておく Instagramには、パスワードの入力した後に、さらにコードを確認しないとロ...

chiilabo.com

機種変更の後でパスキーが必要になった（Googleパスキー）

スマートフォンの機種変更をしたら、パソコンの Googleアカウントからログアウトしていました。 Googleアカウントにログインをしようとすると「パスキー」による認証を要求されました。どうも、新しいスマートフォンの初期設定のときに、Googleアカウントの「パスキー」を有効にしていたようです。 「パスキー」は、登録したスマートフォンなどのロック解除の操作をするだけで、パスワードを入力できたことにする仕組みです。 Googleアカウントがログアウトされていた 最近、スマートフ...

chiilabo.com

Blueskyの登録で電話番号は必要？（SMS認証）

Blueskyアプリのアカウント作成ではSMS認証が必須で、電話番号の入力が必要です（2024-01-29現在）。 ただし、ブラウザから登録すればCAPTCHA認証で代用できるようになりました（2024-02-20追記）。 登録には電話番号が必要？ 最近、Blueskyの招待コードをもらいました。登録しようと思うのですが、電話番号登録が必須になってしまったのでしょうか？ 実際に試してみると、メールアドレスなどの登録の後に、「SMS認証（SMS verification）」のス...

chiilabo.com

「印鑑登録」のようなもんだね。

3-3. 知識情報

「知識情報」は、本人だけが知っている情報を指します。
代表的な例としては、パスワードやPINコード、秘密の質問の答えなどがあります。

脳の中は誰にも見えません¹。
本人の記憶に基づいているため、他人には知られにくい情報です。

文字を組み合わせるだけで すぐに作れるのがメリットです。
ただし、本人が忘れてしまったり、他人に知られてしまうとかんたんに悪用されてしまう、というのがリスクです。

パスワード管理ノートの書き方・作り方 【アカウント管理の基本】

パスワードがいろいろあって、わからなくなってきたよ。 どうやって整理したらよいかな？ 個人でパスワードを管理するときは、まずは「パスワードノート」から始めてみるのもオススメです。 印刷用PDFダウンロード（A4横 両面 3x2x2） パスワードノートって何？ 自分で手帳にパスワードを書いている人も多いですが、後から見直して「なんのパスワードなのか」わからなくなることがよくあります。だんだんとごちゃごちゃになってしまうんですよね。 パスワードノートは、自分のアカウント・パスワー...

chiilabo.com

パスワードをどうやって決めている？ 【パスワード自動生成がおすすめ】（LUFTTOOLS）

パスワードは 登録のたびにランダムで複雑なものを決める のが安全です。 しかし、自分で考えるのは大変です。ランダムな文字列の候補を作ってくれるウェブサイト（定番は LUFTTOOLSのパスワード生成ツール）を使うとスムーズです。 ランダムそのままだとスマートフォンで入力するのが大変です。候補を元にキーボード切り替えを減らすように文字の順序を入れ替えておくと、複雑なパスワードでも入力しやすくなります。 例えば、「q5Vyn6NP」をもとにするなら「!Q5vynnp6666」など...

chiilabo.com

同じパスワードを使い回すのはどうして危険？【パスワードリスト攻撃】

「パスワードリスト攻撃」とは、どこかのサイトで流出した ID・パスワードのリストが、攻撃者によって別のサイトの不正アクセスに使われてしまうサイバー攻撃です。「パスワードリスト攻撃」では、多くの人が複数のサイトで同じ ID・パスワードを用いる傾向を悪用します。攻撃者は侵入に必要なパスワードリストを、よりセキュリティの弱いサイトから入手して、ほかのサイトで利用します。

chiilabo.com

4. 多要素認証（Multi-Factor Authentication, MFA）

これらの固有の情報は、それぞれ単独でも認証に使うことができます。
しかし、複数の要素を組み合わせれば、より安全です。

現在は「多要素認証（Multi-Factor Authentication, MFA）」が推奨されています。

たとえば、銀行のATMでは、キャッシュカードという所持情報と、暗証番号という知識情報を組み合わせています。
さらに最近は、指紋認証による生体情報が必要なATMもあります。

オンラインサービスでも、サインイン時にパスワードに加えて、送られてくる確認コードを入力する必要がある「二段階認証」が一般的になってきました。
これは、知識情報と所持情報の組み合わせです。

「二段階認証」とは？

「2段階認証」は、パスワードを入力した後に、SMSで確認コードを受け取るなどで本人確認する仕組みです。

chiilabo.com

「3Dセキュア認証に失敗しました」（PGマルチペイメントサービス）

クレジットカードでネット決済しようとすると「3Dセキュア認証に失敗しました」と表示されて進みませんでした。 結論から言うと、クレジットカード会社の不正検知システムによってブロックされていました。 クレジットカード会社のコールセンターに相談すると、一時的に不正検知システムを停止してくれて、3Dセキュア認証の画面に進むことができました。 なかなかコールセンターにつながらないし、支払い期限が迫っていると焦るね。 YouTube動画でも話しています。 決済会社を通してクレジットカード...

chiilabo.com

こちらもどうぞ。

パスワードには「鍵」と「合言葉」の2つの使い方がある（ロックと認証）

スマホやパソコンで使われるパスワード。よくよく考えてみると、2つのパターンがあることに気づきます。 「ロック」のためのパスワードと「認証」のためのパスワードです。 とくに「認証」のためのパスワードには、少なからず流出のリスクがあります。なるべく違うパスワードを決めておくようにしましょう。 パスワードを決めるときには、どちらのパスワードなのかを意識することが大事です。 ロックのためのパスワード ロックのためのパスワードは、「金庫のダイヤル番号」のようなものです。 例えば、「個人...

chiilabo.com

「ログイン」と「サインイン」は違うの？【用語の移り変わり】

IDとパスワードを入力することを「ログイン（log in）」あるいは「サインイン（sign in）」と言います。これはほとんど同じ操作のことで、細かな用語に違いを気にしないでも大丈夫です。 ログとサイン もとはどういう言葉なの？ 「ログイン」の「ログ」は、「記録」のことです。つまり、「ログイン」は、「記録開始」を意味しています。 「サインイン」の「サイン」は、「署名」のことです。 つまり、「サインイン」は本人確認の部分、「ログイン」は資格の記録の部分に注目した言い方なわけです...

chiilabo.com

1. あえて違いを強調すれば

QRコードを読み込むと、関連記事を確認できます。