チャレンジレスポンスが普及しにくい理由として、運用コスト・ユーザ体験・TLS普及後の相対的優位低下を整理し、実務採用判断とSGの理由説明問題に対応できるようにします。

sg sg-security-measures access_control risk_assessment

まず結論

チャレンジレスポンス認証は盗聴対策として有効ですが、TLS(通信の暗号化)や多要素認証の普及により、実務では優先度が下がり広く使われていません。
SG試験では「優れた方式=主流とは限らない」と判断させる問題で問われます。

直感的な説明

「いい仕組みだけど、もっとラクで強い方法が出てきた」という状態です。

昔は:

  • パスワードを盗み見される → 大問題
    → チャレンジレスポンスが有効

今は:

  • 通信が暗号化されている(HTTPS)
  • さらに多要素認証もある

👉 他の方法で十分安全になった

定義・仕組み

チャレンジレスポンス認証は、

  • パスワードを直接送らず
  • サーバからのランダム値(チャレンジ)に対する計算結果(レスポンス)で認証する方式

という特徴があります。

本来の強み

  • 盗聴されてもパスワードが漏れない
  • リプレイ攻撃に強い

👉 ここだけ見ると優秀

どんな場面で使う?

使われる場面(限定的)

  • 一部のネットワーク認証(PPPなど)
  • 古いシステムや特定用途

あまり使われない理由(実務視点)

ここがSG試験でも重要です👇

① TLSで代替できる

  • 通信自体が暗号化されている
    → パスワードを送っても盗まれにくい

👉 「送らない工夫」の必要性が低下

② サーバ管理が難しい

  • サーバ側も計算が必要
  • パスワード管理方法に制約が出る

👉 現代のベストプラクティス(ハッシュ保存)と相性が悪い

③ オフライン攻撃には弱い

  • チャレンジ+レスポンスを入手されると
    → 総当たりで推測される可能性

👉 パスワード自体の強さには依存する

④ 多要素認証の方が強い

  • パスワード+スマホ認証など
    → なりすまし自体を防げる

👉 盗聴対策より効果が大きい

⑤ UX(利便性)に寄与しない

  • ユーザから見ると変化なし
  • パスワードレスやSSOの方が便利

👉 採用優先度が低い

よくある誤解・混同

❌ 誤解1:最も安全な認証方式

違う

  • 盗聴には強い
  • でも万能ではない

👉 「用途限定の対策」

❌ 誤解2:現代でも主流

違う

  • 現在の主流は
    • TLS(通信保護)
    • 多要素認証(本人確認強化)

❌ 誤解3:多要素認証より優れている

違う

  • チャレンジレスポンス:盗聴対策
  • 多要素認証:なりすまし対策

👉 目的が違う

SG試験のひっかけパターン

  • 「安全だから広く使われている」→ ❌
  • 「現在の主流の認証方式」→ ❌
  • 「盗聴対策の一手法」→ ⭕
  • 「多要素認証の代替」→ ❌

まとめ(試験直前用)

  • チャレンジレスポンス=パスワードを送らない認証
  • 盗聴対策としては有効
  • しかし現在はTLSで代替されることが多い
  • 主流は「TLS+多要素認証」
  • 「優秀=主流ではない」で判断する

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る