編集部からのお知らせ
オススメ記事選集PDF:MAツールのいま
「これからの企業IT」の記事はこちら

パスワード認証は限界か? 誤解と攻撃の現状--HASHコンサルティング徳丸浩氏 - (page 2)

エースラッシュ

2015-10-29 07:00

 さらに、よくある誤解としてパスワードの定期的な変更の有用性についても疑問を提示。「パスワードを定期的に変更しても、不正ログインは防げない。パスワードを変更すると、漏洩したパスワードは無効化できるという効果はある。定期的に変更すれば、ひょっとしたら漏れているかもしれないという状況を漏れていない状況にリセットできる。これをわかっていてやるならばよいが、過剰な期待もあるようだ」と語った。

 有効な例として「管理者が退職後に悪用するようなパターンへの対処には有効だが、それを狙うならば定期的ではなく退職したタイミングで変更すべき」とも語った。また管理者IDについては、1人1IDを発行する努力をし、退職や異動時に速やかな利用停止や共用パスワード変更を行うべきであるとも述べた。

利用者が強固なパスワードを使い分けることが最重要

 徳丸氏の見解は「パスワード認証は優れた方式であるため、今後もしぶとく生き残るだろう」というものだ。しかし当然のことながら、多くの問題が起っている現状を維持していればよいというわけではない。ではどうすればよいのか、と考えるべき当事者はサービスを提供する事業者や企業だけでなく、そのユーザー自身も含まれるとも語られた。パスワード認証は利用者と運営者が責任を分かち合っているという考え方だ。

 「パスワード認証に対する施策は利用者の責任を運営側が救済する意味合いが強い。最低限しないといけないのは、脆弱性を排除した上で、ある程度長いパスワードをつけられるようにすること」とした上で、オフライン攻撃に対してはなかなか決め手がないことも語り「利用者によいパスワードをつけてもらうのが本筋」と指摘した。

 システム側で対応できることとしてはリッチなセキュリティ機能の実装があるが、二段階認証やリスクベース認証といったものを実装するためには、大きな労力とコストが必要になる。「がんばって実装するか、FIDOなどを採用する。またはGoogleなどのID連携を利用する方法もある」と徳丸氏。ID連携には異論もあるが「ベストではないがベター」と現場では有効な選択肢であることを示した。

 利用者側は、責任をもって十分な安全性をもったパスワードを作り、使い分けることが要求される。当然、ランダムで長い文字列を大量に用意することになるわけだが、徳丸氏は「記憶に頼るのはムリ。パスワード管理ソフトを使うか、ブラウザのパスワード管理機能でもよい。必要なら紙に書いてもよい。とにかくサイトごとに異なるパスワードをつけることが重要」と、一般的にあまりよくないとされる手法を使ってでもパスワードを使い分けることの方が重要であることを語った。

システム管理者側がとるべき対応 システム管理者側がとるべき対応
※クリックすると拡大画像が見られます
利用者側が考えるべき対応と対処方法 利用者側が考えるべき対応と対処方法
※クリックすると拡大画像が見られます

 講演中には二段階認証やリスクベース認証、トランザクション認証も紹介されたが、こうした手法は面倒であるとも指摘。徳丸氏は次世代認証方式として伸びるものは、パスワード認証の置き換えを狙う汎用的なものと、特定機能に特化したものの2種類に分かれるだろうと予想した上で「次世代認証方式にはパスワードに対するリスペクトがなければ、成功はおぼつかないだろう」とまとめた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AWSが提唱する、モダン分析プラットフォームのアーキテクチャと構築手法

  2. クラウドコンピューティング

    AWS資料、ジョブに特化した目的別データベースを選定するためのガイド

  3. セキュリティ

    Zero Trust Workbook--ゼロ トラストの先にある世界を知るためのガイダンス

  4. セキュリティ

    「ゼロトラスト」時代のネットワークセキュリティの思わぬ落とし穴に注意せよ

  5. クラウドコンピューティング

    データ駆動型の組織でビジネスの俊敏性を実現するには?戦略的な意思決定とイノベーションを両立へ

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]