POINTベーシック認証とは

ベーシック認証とは、主にWeb上で利用できる最も基本的な認証システムのことを指します。基本認証とも呼ばれる場合があります。

特定のディレクトリに設定することでIDとパスワードがなければ対象のディレクトリ以下のコンテンツを見ることができなくなります。「.htaccess」を利用して簡単に設定できる認証機能ですが、セキュリティレベルに懸念（IDとパスワードさえあればアクセスできる）があります。

ベーシック認証が設定されているページへアクセスすると、ポップアップ（IDとパスワード入力画面）が表示されます。このポップアップが表示されたら、対象のコンテンツにはベーシック認証が設定されていることが分かります。正しいIDとパスワードを入力しなければ認証エラーとなり、コンテンツは表示されません。

ベーシック認証の主な使い方

ここではベーシック認証の主な使われ方を3つほど紹介します。
①公開前サイトの閲覧管理
公開前のサイトを本公開するサーバーにアップロードしても、ベーシック認証を設定しておけば特定の人しか閲覧できないよう制限することが可能です。

②特定のユーザー向けのコンテンツ管理
例えば、弁護士向けの法律に関するコンテンツのような特定の資格を持っている人向けのコンテンツは、法律の関係上誰でも見られる状態にしてはいけない場合があります。このような場合、ベーシック認証ならば弁護士の資格を持っている方だけにパスワードとIDを発行し、閲覧可能にするといった運用が可能です。

③検索エンジンに見られたくないコンテンツの管理
この場合、「noindex」という設定を用いる方法がありますが、より確実に見られたくない場合はベーシック認証を設定しておけば、検索エンジンが巡回してきてもIDとパスワードが分からないため、コンテンツの中身を知ることができずインデックスされません。

ベーシック認証の設定方法

ここでは、「.htaccess」と「.htpasswd」を利用する方法とプラグインを利用して設定する方法があります。
①設定するディレクトリを決める
はじめにベーシック認証を設定するディレクトリを決めます。
ベーシック認証を設定するためには、「.htaccess」「.htpasswd」というファイルを作成する必要があります（これらのファイルをディレクトリにアップロードする）。

②フルパス（ディレクトリの絶対的位置）を見つける
「.htaccess」「.htpasswd」を作成するにあたり、目的のディレクトリがルートディレクトリからどこにあるのかを知る必要があります。

③「.htaccess」を作成する
次に「.htaccess」というファイルを作成します。定型のスクリプトがあるの

ベーシック認証を解除する方法

①ベーシック認証を解除するには、アップロードした「.htaccess」の内容を「Satisfy any」「order allow,deny」「allow from all」のいずれかのスクリプトに変更します。

②新たに上記の「.htaccess」を作成してアップロードする、又はサーバー上からダウンロードして書き換えて再びアップロードする、どちらでも解除は可能です。

③ベーシック認証を使わないのであれば「.htpasswd」は不要なので、FTPクライアントソフトから削除しておきましょう。

④ベーシック認証が解除されたか確認します。該当するページにアクセスした際に、認証ウィンドウが表示されず、そのままコンテンツが表示されたら解除完了です。

ベーシック認証に関係した気になる話題

.htaccess(ドット・エイチ・ティ・アクセス)とは

.htaccessとは、Webサーバの動作をディレクトリ単位で指定・制御できる設定ファイルのことを指します。世界的に最も普及しているWebサーバソフトのApacheで用いられるもので、他にいくつかのWebサーバも対応しています。

.htaccessを利用することで、「ベーシック認証」や「301リダイレクト」、「URLの正規化」、「ファイル一覧表示の中止」、「特定のIPアドレスやドメインからのアクセス制限」

.htaccessでできることは主に5つあります。
①ベーシック認証
②301リダイレクト
③URLの正規化　
④ファイル一覧表示の中止
⑤特定のIPアドレスやドメインからのアクセス制限

301リダイレクト…一時的ではなく、恒久的に転送するという意味で、ページやサイトの引っ越し時に使用される。

多要素認証によるセキュリティ向上が求められている

近年、セキュリティ向上の一環として多くのクラウドサービスでは多要素認証（MFA：Multi-Factor Authentication）が実装されています。多要素認証とは、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証することを指します。

2017年6月、アメリカの国立標準技術研究所（NIST）が電子的デジタルIDの認証のガイドラインにおいて、パスワードの定期変更をユーザーに強制すべきではないとしたり、パスワードの代わりにパスフレーズを推奨したりと、パスワード認証の限界を提唱しています。また、2018年9月にマイクロソフト社が「パスワード時代の終わり」を宣言したことも重なり、パスワード認証に変わる新たなユーザー認識方式の実装が期待されています。