ASVS用語集
🕓本記事の最終更新日は
です。
本記事について
本記事ではセキュリティ標準として知られているASVSの中の認証に関する用語を解説します。
参照した記事は
Authentication Cheat Sheet
です。
セキュリティに関する知識があまりない方がサクッと調べられるように箇条書きで説明します。
参考リンクも記載していますので、もっと詳しく入れたい方は参照してください。
ASVS
- Application Security Verification Standardの略
- 攻撃を防ぐための方法を示した開発者のためのガイドライン
- OWASPという団体が定めている
参考リンク
OWASP , 2023 , OWASP Cheat Sheet SeriesOWASP , 2023 , OWASP公式ホームページ
2022 , 脱初心者! ASVSとは
MFA/多要素認証
- Multi-factor authenticationの略
- MFA = 多要素認証
- 多要素認証にシングルサインオンを使うと便利
参考リンク
MITANI CORPORATION , 2021 , シングルサインオン(SSO)の概要とメリットとはOkta社 ,2021 , SSO(シングルサインオン)のログインとその誤解
アイディネットワークス株式会社 , 2014 , 企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき
オージス総研 , シングルサインオン(SSO)認証とは?
CAPTCHA
- Completely Automated Public Turing test to tell Computers and Humans Apart の略
- CAPTCHA = キャプチャ認証
- ユーザーが機械か人か判断するための仕組み
- ブルートフォース攻撃のようなソフトウェアを使った攻撃から守るためのもの
- ゆがんだ文字とか信号機を選ぶみたいなあれのこと
- パスワードを使った認証とCHAPCHAの2つを使う認証は多要素認証にならない
→ なぜならば、CHAPCHA認証は人であることを証明するだけでユーザーが本人であることを確認するためのものではないから
参考リンク
(株)インセプト , 2019 , CAPTCHAとはOAuth
- クライアントからサーバーにデータを取りに行くとき、クライアントが正しいか認証するための仕組み
- 正しいクライアントであることを示す証明書を「アクセストークン」と呼ぶ
- アクセストークンの発行元を「認可サーバー」と呼ぶ
- アクセストークンの発行時、クライアントと認可サーバーの間のやり取りを標準化した仕様を「OAuth 2.0」と呼ぶ
▼OAuth認証の仕組み
▼OAuth 2.0とは?
参考リンク
川崎貴彦さんの記事はどれもとても分かりやすいので、おすすめです。川崎 貴彦 , 2020 , 一番分かりやすい OAuth の説明
openId
- クライアントからサーバーにデータを取りに行くとき、クライアントが正しいか認証するための仕組み
- 正しいクライアントであることを示す証明書を「IDトークン」と呼ぶ
- IDトークンの発行元を「Open IDプロバイダー」と呼ぶ
- トークンIDの発行時、クライアントとOpen IDプロバイダーの間のやり取りを標準化した仕様を「OpenID Connect」と呼ぶ
- OpenID Connect は OAuth 2.0 の拡張仕様
▼OpenID認証の仕組み
▼OpenID Connectとは?
参考リンク
川崎貴彦さんの記事はどれもとても分かりやすいので、おすすめです。川崎 貴彦 , 2020 , 一番分かりやすい OpenID Connect の説明
(株)インセプト , 2019 , OpenIDとは
SAML
- Security Assertion Markup Languageの略 ※Assertion(アサーション) : 断言、断定、主張
- SAMLの読み方は「サムル」
- XMLベースのマークアップ言語の一つ
- ユーザの認証情報をを伝達するためのもの
- SSO(シングルサインオン)のための仕組み
- 標準化団体のOASISによって策定された
参考リンク
佐々木 真 , 2022 , SAML(読:サムル)とは2018 , やさしい言葉で理解するSAML認証のまとめ
2023 , 分かりやすいSAML認証の仕組みとシーケンス,メリット
(株)インセプト , 2019 , SAMLとは
SHA-256
- 入力されたデータをもとにして作った適当な値を返してくれる関数(ハッシュ関数)のひとつ
参考リンク
佐々木 真 , 2022 , SHA-256とはCSRFとXSS
CSRFとXSSどちらも悪意のあるURLを踏ませることで始まる攻撃
■CSRF
- Cross-Site Request Forgerの略
- URLふむと意図しない動作をさせる
■XSS
- Cross Site Scriptingの略
- COOKIEを盗む
参考リンク
2019 , 3分でわかるXSSとCSRFの違い2020 , XSSとCSRFって結局何が違うのか?
FIDO
- Fast Identity Online の略
- FIDOの読み方は「ファイド」
- 秘密鍵で暗号化してサーバー側に送り、公開鍵で検証しサーバーの認証を行う
- 秘密鍵はユーザーデバイス内に保存される
- 認証情報がネットワーク上に流れない
- 認証情報がサーバーに保存されない
- 認証のために専用デバイスが必要
参考リンク
株式会社セキュアオンライン , 2022 , FIDO認証とは?パスワードレスで本人認証できる仕組みを解説NTTコム オンライン・マーケティング・ソリューション株式会社 , 2022 , パスワードが不要?FIDO認証の仕組みやメリット・デメリット
FIDO2 / WebAuthn
- FIDO2を実現するための技術をWebAuthnと言う
- WebAuthnの読み方は「ウェブオースン」
- WebAuthnの実態 = Webブラウザ上のアプリケーションが利用するJavaScript API
- このAPIを利用することで、Webアプリケーション上でFIDO認証ができる
参考リンク
株式会社アクシスルートホールディングス , 2020 , WebAuthnとは?工藤 大樹 , 2023 , 次世代の認証技術 WebAuthnを紹介【前編】
森 智史 , 2023 , 【企業担当者必見】「FIDO2」とは何か?仕組みやメリット、FIDOとの違いについて詳しく解説
TOTP
- Time-based One-Time Passwordの略
- ワンタイムパスワード(OTP)の生成手法の標準の一つ
- 30秒間有効なワンタイムパスワード
- 秘密鍵と現在時刻からハッシュ値を求め、これを6桁程度の数値列に変換してパスワードとする
参考リンク
(株)インセプト , 2023 , TOTP 2020 , PHP + Google Authenticator(TOTP)2段階認証の実装方法おわりに
最後まで読んでいただき、ありがとうございました。
今回の記事では沢山のセキュリティー用語を簡潔に解説しました。忘れた時のために、ぜひブックマークをしてみてください。