先進認証と基本認証の違いについて説明してみた

プロモーションを含みます
プロモーションを含みます
PR

M365基本認証の廃止

2022年10月頃から急に Outlook へログインできなくなり、焦った方も少なくなかったかと思います。

Microsoft は以前から、レガシー (遺産的な) プロトコルである「基本認証」の廃止についてアナウンスしており、Microsoft 365 のテナント管理者が2022年9月30日までに先進認証をオプトアウト (拒否を意味する言葉) していない場合、強制的に「先進認証」へ移行することになっていました。

オプトアウトしていれば、1ヶ月の猶予期間が与えられたようです

先進認証とは

先進認証とは、従来の認証方式である「基本認証」から、徐々に移行されつつあるセキュア(安全)な、今どきの認証方式のことです。

先進認証は「モダン認証」や「OAuthオー・オース 2.0 認証」とも呼ばれます。

モダン認証とは、クライアント (ノート PC やスマートフォンなど) とサーバー間の認証および承認方法と、すでによく知られているアクセスポリシーに依存するセキュリティ対策を組み合わせたものの総称です。これには次のものが含まれます。

認証方法:
多要素認証 (MFA)、スマートカード認証、クライアント証明書ベースの認証

承認方法:
Microsoft の Open Authorizationオーソライゼーション (OAuthオーオース) 実装

条件付きアクセスポリシー:
モバイルアプリケーション管理 (MAM) と Microsoft Entraエントラ 条件付きアクセス

https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/hybrid-modern-auth-overview?view=o365-worldwide#what-is-modern-authentication

条件付きアクセスポリシーとは、「誰が」「どこから」「どのようなデバイスで」等さまざまな条件を設定しておき、その条件を満たしたものだけを「許可する/拒否する」ことができるポリシーのことです。

先進認証の認証ダイアログ

先進認証では、以下の画像のような Web ベースの認証ダイアログが表示されます。

先進認証の認証ダイアログ

OAuth 2.0とは

先進認証では、「OAuthオー・オース 2.0」という認可プロトコルが利用されています。

話が少しそれますが、OAuth について説明します。

OAuth は「Open Authorization」の略です。

OAuth は簡単に言うと、「第3者のアプリ」が「本家の Web サービス」に対して限定的なアクセスを可能にする認可の仕組みのことです。

また、利用者に対しアクセス可能時間を制限することができるようになります。

OAuth では「アクセストークン」と呼ばれる、いわば利用できる範囲が限定されたサービス券が利用されています。

この認可プロトコルを利用することで、ログインアカウントへ与える権限を制限でき、万が一不正アクセスされたとしても被害を最小限に抑えることができます。

OAuth 2.0 は、認可(Authorization)プロトコルであり、認証(Authentication)プロトコルではありません。

認可とは、あるサービスのアクセス可能な範囲を限定し、その限定した範囲に対しアクセス権限を与えることを意味します。

OAuth 2.0 は「RFC 6749」で規定されています。

以下は「RFC 6749」から一部抜粋した内容です。

概要

OAuth 2.0 承認フレームワークを使用すると、リソース所有者に代わって、リソース所有者と HTTP サービス間の承認インタラクションを調整するか、サードパーティアプリケーションに次のことを許可することにより、サードパーティアプリケーションが HTTP サービスへの制限付きアクセスを取得できます。自分のためにアクセス権を取得します。この仕様は、RFC 5849 で説明されている OAuth 1.0 プロトコルを置き換え、廃止します。

https://tex2e.github.io/rfc-translater/html/rfc6749.html

プロトコルは「規約」を意味します。

基本認証のデメリット

基本認証は、ユーザーIDとパスワードを入力してユーザーを認証します。

そして、それを直接サーバーに送信するという、いたってシンプルな認証方法です。

基本認証は今もなお利用されている認証方式で、「Basicベーシック 認証」や「レガシー認証」とも呼ばれます。

一方、先進認証では、ユーザー名とパスワードを直接サーバーに送信することはありません

代わりに、ユーザーは、信頼できる認証サービスに転送され、そこでユーザー名とパスワードを入力します。

基本認証の何が問題かというと、「ユーザーID」と「パスワード」さえ知っていれば、誰でもログインできてしまうという点です。

パスワード総当りでログイン試行されること (ブルートフォース攻撃) によって、不正ログインされてしまう可能性がある、という点が基本認証のデメリットです。

基本認証はサイバー攻撃に弱い。

先進認証を利用するメリット

アクセス可能範囲を限定的にすることに加えて、多要素認証が利用できることも先進認証のメリットの一つです。

多要素認証とは、「ユーザー名」と「パスワード」で認証した後、さらに SMS に送付された6桁の番号を入力する認証アプリで定期的に変わる番号を入力するといった、追加の本人確認要素を付け加えた認証方法のことです。

ここで言う多要素認証は(厳密には違いますが)2段階認証とほぼ同義です。

まとめ

先進認証(モダン認証)
  • セキュア(安全)な今どきの認証方式
  • モダン認証とも呼ばれる
  • ユーザーIDとパスワードを直接サーバーに送らない
  • OAuthオー・オース 2.0 という認可プロトコルが利用されている
  • 多要素認証(MFA)が利用できる
  • 条件付きアクセスポリシー等を組み合わせている
基本認証(ベーシック認証)
  • (従来の)いたってシンプルな認証方式
  • ベーシック認証や、レガシー認証とも呼ばれる
  • ユーザー名とパスワードを直接サーバーに送る
  • サイバー攻撃に弱い