調査

ネット事業者の2割超が「多要素認証」など導入済み、変更ル―ル対応に課題も

NO BUDGET

2019-05-24 09:56

 フィッシング対策協議会は、インターネットサービス提供事業者に対して実施した「認証方法」に関するアンケート調査の結果を発表した。これによると、大部分の回答者が「IDとパスワードのみ」と回答する中、20%以上が「多要素認証」や「リスクベース認証」なども用いた複合的な認証を実施していると回答した。

インターネットサービスの個人認証を主にどのような方法で実施していますか?
インターネットサービスの個人認証を主にどのような方法で実施していますか?

 また、パスワードの定期的な変更については、73.7%の回答者が「実施している」とした。ただし、パスワード変更を必須としているわけではなく、推奨にとどめているものも含まれる。要求するまでの期間についても、3カ月以内から12カ月以上まで分布している。

インターネットサービスにおいて、パスワードの定期的な変更を要求していますか?
インターネットサービスにおいて、パスワードの定期的な変更を要求していますか?

 パスワード管理について、何らかの方法で盗まれても問題ない読めない状態(ハッシュ、暗号化など)で管理しているかという問いには、86%が「はい(パスワードを読めない状態で管理している)」と答える一方、13.6%の回答者が「いいえ」と回答しており、パスワードが「平文」の状態で管理されていると考えられるとした。

 これらの結果について、フィッシング対策協議会では、パスワード以外の要素を認証に追加すると利用者の利便性が低下するため、事業者側は、多要素認証の導入を単に推進するのではなく、サービスが扱う情報や資産の性質と、安全性・利便性のバランスを考慮して、サービスごとに適切な認証環境を構築しているとしている。

 また、パスワードの定期的な変更については、総務省の「国民のための情報セキュリティサイト」において、「パスワードの定期的な変更は不要」と修正された内容が発表されたが、これらは、単純なパスワードの使用をしない、使い回しをしない――という認識が利用者間に行き渡っている前提において成り立つことだとした。現在は、利用者側にそのことを啓発しつつ、同時にサービス事業者側に対しても前提を満たしたうえで、パスワードの定期的な変更を不要とすることを浸透させる段階だとしている。

 パスワードデータの管理については、今回「いいえ」と回答した事業者には、元のパスワードが分からない状態で保存する対策が知られる前から何らかの対策を継続している場合や、本人確認のうえ登録パスワードを知らせるサポート対応をしている場合などが含まれていることも考えられるとした。

 調査は2月19~28日に実施された。調査対象はインターネットサービスを提供している事業者(匿名)で回答者は308人。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]