マイキー・キャンベル
· 2分で読めます
資格情報分析サービスのフローチャート。| 出典: USPTO
米特許商標庁が火曜日に認めたアップルの特許には、パスワードなどの認証情報が誤って入力されたことがミスによるものか、それとも安全なネットワークに対する正当な脅威によるものかを許容できる精度で判定する技術が記載されている。
同様のシステムが存在するが、Apple の米国特許番号 8,412,931 の「侵入者の失敗したアクセス試行による認証情報強度分析技術」には、失敗したアクセス試行に応じてセキュリティ アクセスの特定の強度を確立できる「認証情報分析サービス」の詳細が記載されている。
この特許は、サーバー製品、データ センター、安全なイントラネットを念頭に発明されたもので、必要に応じて有線および無線ネットワークを含む他のプラットフォームでも使用できます。
認証情報分析サービスの運用は、非常にシンプルです。例えば、この特許では企業のセキュアネットワークを利用します。システムはまずパスワードまたはセキュリティサービスと連携します。ネットワークにアクセスしようとするユーザーは、トークンなどの識別手段を用いて、複数の役割とセキュリティ権限レベルに応じた認証を行う必要があります。
無効な認証または認証失敗が発生すると、システムは認証サービスから当該資格情報を取得し、無効なログインが認証済みユーザーによるものか、侵入者によるものかを判断します。ユーザーはパスワードの一部を忘れたり、誤ったキー入力をしたりすることがあるため、失敗した試行を処理するかどうかを判断するために、事前に定義されたしきい値が採用されています。
例えば、認証情報分析サービスは、失敗した認証で使用された識別子を取得し、その識別子に対応する既存の有効な認証情報と比較することができます。そして、2つの認証情報間の数値的な距離を計算し、その結果を定義された許容しきい値と比較します。数値がしきい値内であれば、それ以上のアクションは実行されませんが、結果が許容基準を超えている場合は、セキュリティ強度を動的に変更するための措置が講じられます。
ステップの一つとして、失敗した認証情報の記録が挙げられます。この場合、特定の失敗したパスワードの使用回数を追跡するためにカウンタが用いられます。この記録により、特定の認証子のランキングが引き上げられます。別の実施形態では、分析サービスが、失敗した試行に関連付けられたパターンを、既知の侵入者のアクセス試行パターンと比較します。
認証情報分析サービスは、他の指標に加えて、特定の認証情報に関連する強度属性を動的に変更することができます。認証子は、いくつかの実施形態に応じて恒久的にブロックされたり、ポリシーに基づいてダウングレードされたりすることがあります。
さらに他の実施形態では、上記と同様の技術を多く用いる侵入者分析サービスが、不正なユーザーがネットワークにアクセスしようとしているかどうかを判断します。侵入者の傾向を監視し、発見事項や履歴データ、そしてパターンに基づいてポリシーを変更することができます。
Apple の認証サービス特許は 2007 年に初めて申請され、Srinivas Vedula 氏と Cameron Craig Morris 氏が発明者として認められています。
