双方向認証とは

双方向認証とは、サーバー側とクライアント側とで、互いに相手が正当な当事者であることを検証する認証方式のこと。

代表的な双方向認証の一つに、公開鍵暗号方式を応用した「デジタル署名」がある。

パスワード等による通常の片方向認証では、サーバー側が、接続してきたクライアントが正当な利用者であることを認証するが、双方向認証では、クライアント側が、接続しようとするサーバーが正当かどうか確認できない可能性がある状況で利用される。

インターネット上で問題となっているセキュリティ上の脅威に「フィッシング詐欺」があるが、その一種として、悪意の犯罪者が、無線LANにおけるアクセスポイント(AP)を偽装し、なりすますことで、気づかずにアクセスしてきた不特定多数のインターネットユーザーから、ユーザーIDやパスワード、カード番号などの個人情報を盗み出したり、ウイルスに感染させようとする「Evil Twin(エビルツイン)」(＝Wiフィッシング)がある。

この場合、サーバーが正当なサーバーかどうかを確認しなければ、クライアントは、重要な個人情報をみすみす犯罪者に教えてしまうことになる。こうしたフィッシング詐欺への対策として、当該サーバーに接続する際、デジタル証明書を提出させるなどしてそのサーバーが本物であることをクライアント側が確認する、双方向認証が有効であるとされている。