「パスワードのみのユーザー認証は危険」--専門家が警告

　セキュリティ上の脅威が増大しているにも関わらず、企業は安穏とユーザー認証にパスワードを使用し続けているとGartnerのアナリストは警告している。

　現地時間9月14日にロンドンで開催された「Gartner IT Security Summit」において、GartnerのリサーチバイスプレジデントAnt Allanは「セキュリティ上の脅威が高まるなか、パスワードはもはや、（ユーザー認証手段として）適切なものとはいえなくなっている」と述べた。

　こういった脅威は、Wi-FiやWebサービスといったテクノロジーの台頭に呼応する形で増加している。これらの技術の普及に伴い、その脆弱性を狙うサイバー犯罪者も増加する。Gartnerは、企業は新たなテクノロジーを採用することでビジネスバリューを創造できるとしたうえで、その際にはセキュリティレベルの維持にも配慮する必要があると述べた。

　洗練された攻撃が増加し、サイバー犯罪グループの手口がより巧妙化してきたことに対抗するため、企業はパスワードを長くしたり、その変更を頻繁に行うようになっている。GartnerのリサーチバイスプレジデントJay Heiserは「こういった考え方は間違っている。そんなことをすれば、ユーザーはパスワードを忘れてしまうか、書き留めるようになるので、別の意味でセキュリティが弱くなってしまう」と説明する。

　認証は将来的に「もっと強力なもの」となるというAllanは、「RSAのセキュリティトークンやスマートカード、生体認証を採用する企業は増えている。しかし、こういった方法には、導入費用が高いという問題点がある」と述べている。

　企業に対して二要素認証--ユーザーがパスワードに加えて第2の身分証明情報を示す--を採用するよう勧めているセキュリティ専門家も存在する。だが、誰もが二要素認証を将来的な解決策として認めているわけではない。セキュリティ界の権威であるBruce Schneierは、2005年初めに行われたインタビューにおいて、二要素認証に反対する意見を総括して、「二要素認証は、現在横行している個人情報盗難の問題に対する解決策として売り込まれているが、実はこれは10年前の問題を解決するために設計されたものだ」と述べている。

　Allanは、「欧州の企業は、こういった解決策の導入によるコストの増加を受け入れる傾向にあるが、米国の企業は（複雑な手続きで）ユーザーの負担を増加させたくないため、および腰となっている」と述べている。

　費用面での負担の少ない手段としては、携帯電話トークンを使ったワンタイムパスワード認証や、IDカードなどがある。

　セキュリティ対策企業Aladdinで法人営業部門のバイスプレジントを務めるColin Thompsonは、企業が何らかの物理的なIDとデジタルIDを組み合わせた認証を取り入れることから始めるべきだと述べる。

　同氏は、「銀行口座にアクセスしようとすれば、キャッシュカードと暗証番号が必要だ」と述べ、「キャッシュカードを紛失すれば、セキュリティが危険にさらされているということがわかる。企業における個々のユーザーは、いまだに危険にさらされている。彼らも、スマートカードや身分証明書のものを使う必要がある」と説明している。

　「二要素認証こそが、今後進むべき道である。ただし、いったんログインした後のシステムは、ユーザーにとって、もっと単純なものになっていなければならない。サイト毎にユーザー名やパスワードが異なる状況は何とかするべきだ」（Thompson）