IT資産管理

ケルベロス(Kerberos)認証とは?シングルサインオンとの違いも解説

Written by WizLANSCOPE編集部

ケルベロス(Kerberos)認証とは?シングルサインオンとの違いも解説

これだけは押さえたい!
【43項目】情報セキュリティチェックシート

質問に答えるだけ!
自社のセキュリティ課題を見える化し、具体的な対策までわかります。

資料をダウンロードする

目 次


ケルベロス認証とは、シングルサインオンを実現するための認証方式の一つであり、「チケット」と呼ばれる仕組みを用いて、ユーザーの認証情報を安全にやり取りする技術です。

クラウドサービスの普及が進む近年、利用するサービスの増加に伴い、管理すべきIDとパスワードの数も増加し、利用者や管理者の負担は大きくなっています。

そのため、認証管理を効率化できるシングルサインオンの需要が高まっており、シングルサインオンを支える技術として「ケルベロス認証」にも注目が集まっています。

本記事では、ケルベロス認証の仕組みやメリット、課題などを解説します。

▼本記事でわかること

  • ケルベロス認証の仕組み
  • ケルベロス認証とシングルサインオンの違い
  • ケルベロス認証のメリット・課題

「ケルベロス認証とは何か」「ケルベロス認証を導入することでどのようなメリットが期待できるのか」などを知りたい方はぜひご一読ください。

ケルベロス認証とは


ケルベロス認証とは、サーバーとクライアントの間で行われる身元確認に利用される認証プロトコルです。

認証情報やチケットを暗号化して安全にやり取りできることに加え、クライアントとサーバー間の相互認証も実現できるため、第三者による通信の盗聴や不正アクセスのリスクを大幅に軽減できます。

また、一度の認証で複数のサービスにログインできる「シングルサインオン(SSO)」の基盤技術としても利用されており、代表的な活用事例としてWindowsのActive Directoryが挙げられます。

近年では、企業内におけるユーザー認証基盤として、多くの組織で導入されている技術の一つです。

ケルベロス認証は、1980年代にマサチューセッツ工科大学において研究開発され、現在でもインターネットの標準規格として、高い安全性を備えた認証基盤を支えています。

関連ページ

アクティブ ディレクトリ(Active Directory)のメリットとは?構築・運用時のTipsをご紹介

ケルベロス認証の由来

ケルベロス認証という名称は、ギリシャ神話に登場する冥府を守る番犬「ケルベロス」に由来しています。

ケルベロスとは、一般的に三つの頭を持つ犬として知られており、冥界の門を守る存在です。

冥界から死者の魂が外へ逃げ出さないよう、また生きている者が冥界に入り込まないように見張っています。

ケルベロス認証も、ケルベロスとよく似た役割を果たします。

  • 正しい利用者であることを厳格に確認する
  • 不正なアクセスを防ぐ
  • チケットにより、安全な利用を許可する

これらの仕組みによって、利用者が正当な存在であることを確認し、許可された通信のみを許可します。

このように、「誰を通して」「誰を通さない」かを厳しく管理する点が、冥界の門番であるケルベロスの役割と非常に似ているとして、「ネットワークの番犬」として名付けられました。

ケルベロス認証の仕組み


ケルベロス認証の仕組みを説明するうえで、欠かせない専門用語がいくつかあります。

全体の流れを理解するために、まずはそれぞれの用語を確認していきましょう。

用語 概要
AS(Authentication Server) ・ユーザーからの認証要求を受け取り、IDとパスワードを確認した上で、TGTを発行するサーバー
・ケルベロス認証における最初の認証窓口となる存在
KDC(Key Distribution Center) ・サーバーとユーザー認証情報を一元的に管理する中核システム
TGT(Ticket Granting Ticket) ・利用したいサーバー用のアクセスチケットを発行してもらうための「中間チケット」
・初回ログイン時に発行され、有効期限内でのみ使用可能
TGS(Ticket Granting Server) ・TGTをもとに、実際にサービスへアクセスするためのチケットを発行するサーバー
・KDCに登録された各システムへのアクセスを制御する役割を担う

ケルベロス認証は「チケット」と呼ばれる仕組みを用いて、ユーザーの認証情報を安全にやり取りする点が特徴です。

ユーザーが、IDとパスワードを使って初回認証を行うと、サーバーから「TGT(Ticket Granting Ticket)」が発行されます。

このTGTをもとに、利用したいサーバーへアクセスするための個別チケットを取得するという流れで認証が進みます。

このチケットの有効期限内であれば、ユーザーは再度IDとパスワードを入力することなく他のシステムを利用できます。

これが、ケルベロス認証が実現する「シングルサインオン(SSO)」の仕組みです。

ユーザーにとっては、チケットの存在を意識する必要がなく、一度のログインで複数のサービスが利用できる利便性があります。

ケルベロス認証は、主に以下の手順で行われます。

  1. ユーザーがIDとパスワードを入力し、ASへ認証リクエストを送信する
  2. ASが利用者資格を確認し、成功するとTGTを発行する
  3. ユーザーはTGTを使って、利用したいサーバー用のアクセスチケットを要求する
  4. TGSでTGTの有効性が確認されると、アクセス用チケットが発行される
  5. ユーザーは取得したチケットを、接続したいサーバーへ送信する
  6. チケットが有効期間内であれば、サーバーへのアクセスが許可される

このように、ケルベロス認証では「TGT」が中心的な役割を果たします。

チケットが盗まれた場合、不正アクセスの危険性が生じるため、ケルベロス認証では、送信時刻を含めた認証チェックが行われ、時刻にズレがある場合は正当なチケットであっても、アクセスが拒否される仕組みをとっています。

また、通信には共通鍵暗号方式が用いられ、サーバーとクライアントが同じ鍵を使ってデータの暗号化・復号を行います。

この共通鍵はセッションごとに生成され、認証を管理するサーバー(KDC)によって安全に管理されています。

ケルベロス認証とシングルサインオンの違い


結論から言うと、シングルサインオン(SSO)は「仕組み」そのものであり、ケルベロス認証はその仕組みを実現する「技術の一つ」です。

まずシングルサインオンとは、一度認証を済ませることで、複数のアプリやクラウドサービスに対して、追加のログイン操作を行うことなくアクセスできる仕組みです。

利用者の操作回数を減らし、パスワードの使い回しを防止できるため、利便性と安全性を両立できるとして、近年さまざまな企業やサービスで採用されています。

一方でケルベロス認証は、このシングルサインオンを実現するための認証方式のひとつです。

初回の認証後に「チケット」と呼ばれる情報を発行し、そのチケットを用いてログイン状態を安全に維持します。

このチケットの仕組みを活用することで、ユーザーは最後IDやパスワードを入力することなく、複数サービスへ安全にアクセスできるようになります。

このようにケルベロス認証は、シングルサインオンを実現する手段として、現在も多くの環境で採用されています。

関連ページ

シングルサインオン(SSO)とは?仕組みやメリット、注意点をわかりやすく解説

他のシングルサインオンの方式

シングルサインオンを実現するための技術はケルベロス認証だけではありません。

シングルサインオンにはさまざまな方式があり、それぞれ特徴や仕組みが異なります。以下に主要な方式をまとめます。

方式 概要
SAML認証方式 ・認証を提供するIdPとサービス提供側のSPが連携し、認証情報を安全に受け渡す方式
・異なるドメイン間でも認証連携できる利点がある一方、アプリがSAMLに対応していない場合は利用できない点に注意が必要
リバースプロキシ方式 ・ユーザーとWebアプリの間に中継サーバーを置き、そこで認証を行う方式
・デバイス側の設定が不要な反面、プロキシに負荷が集中しやすいという課題がある
エージェント方式 ・各アプリケーションサーバーにエージェントソフトを組み込み、認証処理を行う方式
・ネットワーク構成を変更せずに導入できるが、サーバーごとに設定や管理が必要になり、運用が煩雑になりやすい
代理認証方式 ・ユーザーデバイスにインストールしたエージェントソフトがログイン画面を検知し、自動入力する方式
・比較的導入しやすい一方で、すべてのデバイスにソフトをインストールする必要がある
透過型方式 ・ユーザーの通信を監視し、認証が必要な場合のみ、認証情報を送信する方式
・ネットワーク構成を変更せずに導入できるが、透過型認証に対応したSSO製品を利用する必要がある

これらの方式は、導入難易度やセキュリティ強度、運用コストなどの面でそれぞれ異なる特性を持っています。

そのため、組織の規模や利用するシステムの種類、運用体制などに応じて、最適な方式を選定することが重要です。

ケルベロス認証のメリット


ケルベロス認証を導入することで、以下のメリットが期待できます。

  • 利便性の向上
  • セキュリティ強化
  • 通信トラフィックの削減

詳しく確認していきましょう。

利便性の向上

ケルベロス認証の大きなメリットとして、一度のログインで、複数のシステムやサービスを利用できる点が挙げられます。

ケルベロス認証では、初回の認証時に発行されるチケットによって、ログイン状態が安全に維持されるため、ユーザーは、サービスやアプリケーションごとにID・パスワードを再入力する必要がありません。

複数の社内システムを切り替えながら業務を行う環境では、この仕組みが大きな効果を発揮するでしょう。

例えば、メールやファイル共有、業務アプリケーションなどを頻繁に行き来する場合でも、その都度ログイン操作を求められないため、作業の中断が減り、業務をスムーズに進められるようになります。

また、パスワード管理の手間が軽減されることで、覚えるべき情報が最小限に抑えられ、ユーザーの負担軽減にもつながります。

さらに、パスワード入力の回数が減ることで、入力ミスによるログインの失敗が少なくなり、アカウントロックなどのトラブル軽減も期待できます。

セキュリティ強化

ケルベロス認証方式では、初回の認証が成功するとチケットが発行されます。

このチケットには、認証に必要な情報が強力な暗号化処理を施された状態で含まれており、第三者による解読が極めて困難な設計となっています。

これにより、正当な権限を持たない利用者は、サーバーへの接続が拒否され、他人へのなりすましや認証データの不正取得といった一般的な攻撃パターンによる侵入を効果的に防止することができます。

企業内のネットワークのように、多くの利用者が多数のサービスや情報資源にアクセスする状況では、このような高水準のセキュリティ性能は、非常に重要な価値を持ちます。

またケルベロス認証では、パスワードがネットワーク上を平文で送信されることがないため、通信経路上での盗聴リスクも大幅に低減されます。

さらに相互認証の仕組みにより、クライアントとサーバーが互いに正当性を確認し合い、これにより偽装されたサーバーへ誤って接続してしまうリスクも防げます。

通信トラフィックの削減

ケルベロス認証は、初回認証時にチケットが発行されると、その後のアクセスはこのチケットをもとに処理されます。

そのため、認証のたびに認証サーバー(KDC)と通信する必要がなく、やり取りの回数を最小限に抑えられます。

これにより、ネットワーク上で認証情報を頻繁に送受信する必要がなくなり、通信トラフィックの削減が期待できます。

さらに、認証関連の通信が減少することでネットワークの混雑も軽減され、結果としてネットワーク全体の応答速度の向上にもつながります。

ケルベロス認証の課題


ケルベロス認証は多くのメリットを持つ一方で、導入面や環境依存性に関する課題も存在します。

ここでは、事前に把握しておくべき代表的な課題を解説します。

導入ハードルが高い

ケルベロス認証を利用するには、KDCと呼ばれる認証サーバーを構築し、ユーザー情報や暗号鍵を一元的に管理する体制を整える必要があります。

この構築や初期設定には、専門的な知識と時間が必要となるため、小規模な組織では、導入コストが高くつく傾向があります。

その結果、利用規模が小さい場合には、運用にかかるコストが相対的に大きくなり、導入の判断が難しくなるケースも珍しくありません。

また、既存のシステムがケルベロス認証に対応していない場合には、追加の設定変更やシステム改修が必要になる可能性もあります。

古いアプリケーションでは対応が難しいこともあり、認証方式の統一自体が困難になる可能性もあるでしょう。

さらに、運用を始めてからも、認証ポリシーの更新やアカウント管理など、継続的なメンテナンスが求められます。

こうした理由から、ケルベロス認証の導入を進める際は、システム全体の設計を入念に行い、既存環境との互換性や運用体制を十分に確認しておくことが重要です。

また、あわせて、導入後に発生する運用負担や管理コストについても、あらかじめ見積もっておく必要があります。

環境依存度が高い

ケルベロス認証は、ネットワーク環境に大きく依存する仕組みです。

特に、KDCの稼働状況が認証全体に大きな影響を与えます。KDCが停止すると、その間は新たな認証が行うことができず、結果としてシステム全体が利用できなくなるリスクを抱えています。

また、ケルベロス認証では「時刻同期」が必須条件となります。

クライアントとサーバーの時刻にズレが生じると、チケットの整合性が取れなくなり、正しい利用者であっても認証に失敗してしまいます。

そのため、ネットワーク全体で正確な時刻管理を行う必要があります。

これらの課題を回避するためには、KDCの冗長化や時刻同期サーバーの設定など、インフラレベルの対策が不可欠です。

ケルベロス認証を安定して運用するためには、技術的な知識と継続的に管理する体制が求められることを把握しておきましょう。

まとめ

本記事では、「ケルベロス認証」をテーマに、仕組みやメリット、課題などを解説しました。

本記事のまとめ

  • ケルベロス認証とは、サーバーとクライアントの間で行われる身元確認に利用されるプロトコルで、シングルサインオンを実現するための認証方式の一つ
  • ケルベロス認証では、ユーザーが最初にIDとパスワードを入力すると、一時的な認証データである「チケット」が発行され、以降はチケットを提示するだけで別のサービスにアクセスできるようになる
  • ケルベロス認証を導入することで、「利便性の向上」「セキュリティ強化」「通信トラフィックの削減」といったメリットを期待できる
  • ケルベロス認証には「導入ハードルが高い」「環境依存度が高い」といった課題もある

クラウドサービスの普及が進む近年、業務で使用するシステムやアプリケーションの数は年々増加しています。

これに伴い、管理すべきIDとパスワードの組み合わせも増え続け、パスワードの使い回しや脆弱なパスワードの設定といったセキュリティリスクが高まっています。

こうした背景からシングルサインオンの需要はますます高まっており、シングルサインオンを支える技術として「ケルベロス認証」にも注目が集まっています。

パスワード管理に課題を感じている企業・組織の方は、メリット・デメリットを十分に理解した上で、ケルベロス認証の導入を検討してみてはいかがでしょうか。

おすすめ記事