Interstage Application Server セキュリティシステム運用ガイド

目次 索引

1.2.4.5 認証情報の搾取、暴露、書き換え

　認証情報は、正しく認証に成功したユーザだけが入手できる認証情報で、その中には保護リソースへのアクセス制御に必要な情報や、メールアドレスなどといったユーザの情報も含まれています。認証情報を搾取されると、ユーザに成りすますことができてしまいます。認証情報を書き換えられると、適切なアクセス制御が不可能となってしまいます。また、認証情報を暴露されると、プライベートなユーザ情報が漏洩してしまいます。
　認証情報の暴露、書き換えについては、認証情報を暗号化することで対処できます。認証情報はサービスIDを元にTriple-DESで暗号化されるため、サービスIDが適切に管理されている限り、解読は不可能です。

　認証情報の搾取については、クライアントと認証サーバ、業務サーバ間の通信内容を暗号化することで対処できます。もし認証情報が搾取された場合でも、認証情報には正しいクライアントのIPアドレスが格納されているため、不当なクライアントから提示された認証情報は無効とみなされます。さらに、認証情報には有効期限を設定できるため、ある一定時間を過ぎた認証情報を無効扱いすることが可能です。これにより認証情報搾取による成りすましの危険性をさらに下げることができます。

目次 索引