認証サーバーとは｜仕組みや導入メリット、RADIUSとLDAPも解説

認証サーバーとはどのようなものかご存知でしょうか。企業におけるさまざまなサービスにログインする際には認証サーバーが活用されることがあります。今回は認証サーバーの必要性やメリット、基礎的な仕組みについて紹介します。

認証サーバーとは？

認証サーバーとは、ネットワークまたは特定のソフトウェアにアクセスしようとしているユーザーが正規のユーザーかどうか、またアクセスを許可していいかどうかなどを判断する専用サーバーを指します。情報を正しく管理するうえで必要なセキュリティで、認証サーバーについて詳しく知らない人でも企業におけるさまざまな業務の中で認証サーバーを使用しています。

認証サーバーで行えることは次のようなものです。

ユーザーの管理

認証サーバーでは、ユーザーにIDとパスワードを発行して、ユーザーがログインした場合に閲覧、編集できる情報を管理します。たとえば、特定のフォルダへのアクセスやファイルの編集可否などが登録されていて、管理職と一般社員、担当する部署などによってIDとパスワードで閲覧できる情報を細かく管理しています。

認証・許可するシステム

認証サーバーにユーザーがアクセスしたときに、本人確認を行い正規のユーザーであると判断すれば、システムの利用を許可します。認証方法は認証サーバーによって異なり、IDとパスワード、SNS認証、ワンタイムキーなどいくつかの種類が存在します。システムの利用目的や内容が変わるごとに、ユーザーが利用できる権限を変更することもあります。

アクセスを制御する

認証サーバーで、システムの利用許可が下りれば、すべての情報を使用できるわけではありません。ユーザーごとに利用できるシステムや情報の範囲を設定し、それ以外を閲覧したり操作をしたりできないように認証サーバーがアクセスを制御しています。これによってそれぞれのユーザーは許可を与えられた範囲の必要な情報だけにアクセスできます。

認証サーバーを導入するメリット

認証サーバーを取り入れることで、許可したユーザーだけを受け入れ、操作できる情報も管理できるようになります。多くのシステムで、認証サーバーはセキュリティ対策として欠かせないものといえるでしょう。認証サーバーのメリットや必要性について説明していきます。

管理者側で統合的に管理できる

認証サーバの導入によって、多くのユーザー（社員や関係者など）および利用するシステムに対して適切なアクセス権限の管理を一括でおこなうことができます。また、どのユーザーがどの端末からいつログインしたかなどの履歴データを保持し、万一の不正行為などに備えることができます。

セキュリティを高められる

認証サーバーにもよりますが、ワンタイムパスワードや証明書認証のインフラとしても利用することができます。また、後述するRADIUSサーバを利用することで従来のユーザ名、パスワードでの認証と比べると強固な認証を行うことができます。

ネットワーク機器の負荷を分散できる

認証機能を備えつつ認証処理を実行すると、アクセスが集中し大きな負荷がかかり、アクセス機能に支障が出る場合があります。RADIUSサーバを導入して、認証機能をRADIUSサーバに移管することによって、アクセスポイントの負荷を下げることができます。

RADIUSとLDAPについて

認証サーバーの基礎的な知識として、RADIUSとLDAPがあります。これらの概要について説明します。

RADIUSとは

RADIUSサーバーとは、Remote Authentication Dial In User Serviceという認証プロトコルを使って、認証サービスを提供するサーバーです。インターネットが普及され始めたころ、ユーザがインターネットへアクセスするには電話回線を使ったダイアルアップが主流でした。

RADIUSサーバーは、ダイアルアップサービス用の認証サーバとして開発され、ISPや企業などで利用されてきました。現在、回線は電話から光回線になっていますが、ISPの認証サービスなどでは、RADIUSサーバが継続して使われています。

今では「接続時のログを取得し、後からどのユーザーがネットワークを使ったかを確認する」という意味合いが強くなっています。

LDAPとは

LDAP（Lightweight Directory Access Protocol）とは、ユーザーやコンピュータの情報を集中管理する「ディレクトリサービス」へのアクセス時に用いられるプロトコルの一つです。

LDAPを利用することで、サーバー上のデータを検索、参照したり、変更などの操作を行うことが可能になります。ただし、ディレクトリサービスの性質上、頻繁なデータの変更や複雑な関係を持つデータの管理には向かず、あくまで情報の検索と参照が速いという特性を持つのが特徴です。

両者の棲み分けについて

LDAPの場合は前述の通り、本来の用途はディレクトリであるため、アカウンティング情報も取得できません。そのためRADIUSのユーザーデータベースとしてLDAPを使用する手法が適切と考えられます。

例えば、Windowsサーバに実装されているRADIUSユーザーデータベースとしてActiveDirectoryを使用します。なお、ActiveDirectoryの実体はMicrosoftによるLDAPの拡張実装であり、そういう意味ではRADIUSをフロントエンドにしてLDAPを使用している身近な例ともいえます。

二段階認証やFIDO認証、生体認証を活用した認証機能で会員向けサイト・サービスを構築するなら

当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。

会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。

ログイン認証機能では、通常のID・パスワードを使った認証に加えて、スマートフォンアプリ・メール・SMSなどを用いた二段階認証、指紋や虹彩等の生体情報を利用したFIDO認証（Fast IDentity Online）など、強固な認証にも対応しています。

ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。

まとめ

認証サーバーシステムは、権限に応じてシステム利用を適切に行うための仕組みです。さまざまなログイン方法（認証方法）があり、利用用途やユーザーの環境にあわせて適切に選択する必要があります。また、RADIUSサーバーとLDAPというプロトコルを組み合わせて認証サーバーを構成することが一般的です。認証サーバーを活用することで、大規模な組織でのシステム権限管理を効率的かつセキュアに行うことができます。