パスワード認証の限界
本稿は、企業システムを対象に、オンライン認証におけるセキュリティの考慮事項について解説する。
昨今は、社会全般におけるデジタルテクノロジーの急激な普及、ビジネスにおけるクラウドサービスの活用によって、認証の機会が大きく拡大している。例えば、チャットやビデオ会議をするのにもインターネット経由でのログインに認証が求められることが多い。従来の社内ドメインや社内アプリケーションに加えて、Microsoft 365、SalesforceなどのSaaSの普及もあり、認証回数の増加を後押ししている。
ユーザー名とパスワードによる認証は、誰にとっても最も身近な方法だが、近年になり課題視されている。文字数を長くする、複雑にする、定期的に変更するなどのパスワードの在り方に関する議論を目にする機会は多いだろう。だが、それ以前にパスワードを使った認証自体が、セキュリティ対策上不十分なのだ。攻撃者に容易に突破されるからだ。
そもそも認証は、システムを利用している人が本当に本人であるかを検証する手順のことだ。建物の扉を開けて中に入る手順に例えてみよう。その場合、パスワードは合言葉になる。「合言葉が言えたから扉を開ける」というと分かりやすいだろう。つまり、パスワードを使った従来の認証は、単純ということだ。そのため、近年多くの課題が提起されている。
まず、「セキュリティ侵害の80%に認証情報の侵害を伴う」という調査報告がある。また、ユーザーは平均90以上という大量のオンラインアカウントを保有している。それにも関わらず、別の調査結果では51%ものパスワードが使い回されているといわれている。そして、2020年に公開されたダークウェブの調査報告では、10万件の侵害から150億件のログイン情報(ユーザー名、パスワード)が盗まれたことも判明している。
このように、パスワードに関連するセキュリティ問題が多く報告されているが、41%もの組織が、いまだにユーザー名とパスワードが最も効果的なアクセス管理ツールの1つだと考えているそうだ。
パスワードに依存し続けることで、人々は、以下のような多くの認証攻撃ベクトルに対して脆弱な状態にいることになる。
- パスワードリスト型攻撃
- パスワードスプレー攻撃などの総当たり攻撃のメカニズム
- フィッシングとソーシャルエンジニアリング
- キーストロークロギング
現在の新型コロナウイルス感染症のパンデミックにおいて、サイバー攻撃も増加していることがさまざまなところで言及されている。インターネット上にあるセキュリティ基盤で観測を行うアカマイ・テクノロジーズは、2020年3~5月にマルウェア関連サイトが、447%増加したことを観測している。
図:チャットやストリーミングなどの健全なカテゴリーに比べてマルウェアの増加が著しい
外出の自粛や在宅勤務によってオンライン化が加速する現在は、これまで以上にサイバーセキュリティへの警戒が必要になっている。
