セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場用語・国際規格 Basic認証とは

Basic認証とは

2023.03.02 用語・国際規格

Basic認証とは
Basic認証の仕組み
Basic認証のセキュリティ上の問題点
Basic認証の使用例

Basic認証とは

Basic認証とは、WEBサーバとブラウザが持つ認証機能の１つです。主に、WEBサイトのページに対してアクセス制限をかける時に利用されます。

一般的なWEBサイトではサイトが用意したログイン画面で認証をして、Cookie等を使って認証状態を維持します。

一方で、Basic認証が設定されているページにアクセスすると、ブラウザが提供する認証ダイアログが表示され、ユーザーIDとパスワード（以下、認証情報）の入力を求められます。ここで正しい認証情報を入力すると、ページを開くことができるようになります。

Basic認証の仕組み

次に、Basic認証の仕組みを簡単に解説します。

一般的に利用者がWEBサイトにアクセスしようとすると、ブラウザからWEBサイトのサーバーに対してリクエストが送信され、サーバーからレスポンスとしてページの内容が返されます。ここでBasic認証が使用されている場合、認証情報がリクエストに含まれて送信され、WEBサーバは認証情報の正当性が確認できた時だけレスポンスを返すことになります。

リクエストに認証情報が含まれていなかった時や、不正な認証情報であった場合は、WEBサーバは認証失敗のレスポンスを返します。この認証失敗のレスポンスが返されると、ブラウザは認証ダイアログを表示します。従って、Basic認証が設定されたWEBサイトに最初にアクセスした時には必ず認証失敗となり、認証情報を要求されることになります。

Basic認証のセキュリティ上の問題点

Basic認証には、いくつかセキュリティ上の問題点があります。

1つ目は、認証情報がブラウザに保存されることです。WEBサイトにアクセスした際に入力した認証情報はブラウザに一時的に保存されるため、ブラウザを開いている間は何度WEBサイトにアクセスしても再度認証情報を入力する必要がありません。これは便利である一方で、WEBサイトにアクセスした端末を放置などしてしまうと、悪意のある第三者に認証情報を盗まれてしまうというリスクがあります。

2つ目は、認証情報（ユーザーIDとパスワード）を毎回リクエストに含めて送信するという仕様上、認証情報の送信回数が多くなるという点です。これにより、盗聴等により認証情報を盗まれるリスクが高くなります。

Basic認証の使用例

先に述べたように、Basic認証はセキュリティ上の問題点を抱えているため、一般的なWEBサイトで認証に使用されることはありません。Basic認証が使用されるケースとしては、開発途中で公開前のWEBサイトや、社内ネットワークのみで使用されるサイトが挙げられます。

前者は仮に不正アクセスされても大きな被害にはならないため、後者は外部から社内ネットワークにアクセスすること自体が困難なため、いずれも簡易的な認証で十分であるケースとなります。また一般的なWEBサイトでも、検索サイトからのクローリングを防ぐ目的で、サイト内の一部のページにBasic認証による制限をかけるという使い方もあります。

今回の解説は以上になります。お読みいただきありがとうございました。

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

お問い合わせ

この記事の著者廣政龍亮

2016年よりSHIFTのグループ会社に入社し、主にソフトウェアテストに従事。2017年よりSHIFT SECURITY案件に配属される。
同案件ではWEB脆弱性診断のテスト実行や案件管理を経て、現在はテストケース標準化に携わる。