sg sg-security-measures access_control crypto_auth
まず結論
チャレンジレスポンス認証は、パスワードそのものを送らずに、サーバからの問い(チャレンジ)に対する計算結果(レスポンス)で本人確認を行う仕組みです。
SG試験では「パスワードを直接送るかどうか」を見極める問題で問われます。
直感的な説明
「合言葉をそのまま言わない認証」です。
例えば:
- サーバ:「今日の合言葉は?」(チャレンジ)
- 利用者:合言葉を元に計算した答えを返す(レスポンス)
👉 合言葉そのものは一度も送られない
つまり、 盗み見されてもパスワードがバレない仕組みです。
定義・仕組み
チャレンジレスポンス認証(Challenge-Response Authentication)は、サーバが送るランダムな値(チャレンジ)と、利用者が持つ秘密情報(パスワードなど)を使って計算した結果で認証する方式です。
基本の流れ
- サーバがランダムな値(チャレンジ)を送る
- クライアントがパスワード+チャレンジで計算
- 計算結果(レスポンス)をサーバへ送信
- サーバ側でも同じ計算をして一致すれば認証成功
重要ポイント
- パスワードは通信に流れない
- 毎回チャレンジが変わる(再利用防止)
👉 盗聴・リプレイ攻撃(なりすまし)対策になる
どんな場面で使う?
主に「通信経路での盗聴リスクがある場合」に使われます。
よくある利用例
- ネットワーク認証(PPP、Wi-Fiなどの一部方式)
- 古いシステムの認証方式
- セキュリティを意識した認証プロトコル
使うべき場面
- パスワードをそのまま送信したくない
- 通信が盗聴される可能性がある
注意が必要な場面
- 現在はTLSなどの通信暗号化が普及
→ 単体ではなく、他の対策と組み合わせることが多い
よくある誤解・混同
SG試験ではここが重要です。
❌ 誤解1:パスワードを暗号化して送る方式
→ 違う
- 暗号化:パスワードを変換して送る
- チャレンジレスポンス:そもそも送らない
👉 発想が違う
❌ 誤解2:多要素認証と同じ
→ 違う
- チャレンジレスポンス:通信方法の工夫
- 多要素認証:認証要素を増やす
👉 目的が違う(盗聴対策 vs 強度向上)
❌ 誤解3:リプレイ攻撃に弱い
→ 間違い
- 毎回チャレンジが変わる
→ 同じレスポンスは使えない
👉 リプレイ攻撃対策になる
SG試験のひっかけパターン
- 「パスワードをそのまま送る」→ ❌
- 「パスワードを暗号化して送る」→ ❌(本質ではない)
- 「パスワードを送らずに認証する」→ ⭕
- 「毎回異なる値を使う」→ ⭕
まとめ(試験直前用)
- チャレンジレスポンス=パスワードを送らない認証
- ランダム値+パスワードで計算した結果で確認
- 盗聴・リプレイ攻撃対策になる
- 暗号化との違いは「送るか送らないか」
- 「パスワードが通信に流れるか」で選択肢を切る
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- 認証方式とは?3要素と多要素認証を整理【SG試験】