将来、データを“売り渡す”可能性があるDB管理者の割合“10％”の衝撃 - (page 2)

管理規定が複雑化するほど形骸化していくパスワード運用

田中標的型攻撃は、どのようにカスタマイズされているか分からないので恐怖感が高いと思うのですが、実際に標的型攻撃に遭ったという事例はかなり聞こえてくるものですか？

川口山ほどありますね。標的型攻撃では、教えてもらうまで気付いていない企業が大半です。こうした攻撃で厄介なのは、端末1台が被害に遭うと横展開で一気にやられることですね。1台だけならばその端末のみなので対策コストも少なくて済みますが、大半はAD（Active Directory）を含む管理サーバなどまで被害に遭ってしまう。調査する時間も予算もないので再インストールするしかない、といった場合もあります。

田中1台が被害に遭った後の動きについて、最近の特徴はありますか？

川口悪意ある第三者は、侵入後に横展開していく上でシステム内の個人認証情報をかなりの割合で使用するため、この認証情報をいかに取得するかを考えています。セキュリティ機能を使いこなせばなんとかなるというレベルでは、今度は企業側に一定以上の能力が求められるので、それも難しいですね。

　企業ではパスワードを複雑かつ長くしたり、定期的に変更するような施策も行われていますが、今度は必ず変更しなかったり覚えられない人が出てくる。管理規定が複雑化するほど、運用は形骸化していく恐れがあります。面倒に感じてIDやパスワードを付箋に書いて貼り出したら終わりですからね。ここを何かで補うか、別の認証手段に置き換える必要が出てきます。覚えられないパスワード運用を、例えば生体認証などの手段で支援・解決できるのであれば有効でしょう。

田中それこそ全システムにアクセスできるシングルサインオン（SSO）のような手段があればまだ対応できますが、システムごとに個別のパスワードを変更・記憶し続けるような運用は厳しいですね。

川口かなり無理があると思います。なにか問題が起こるとルールが複雑化しますが、このルールを減らすという決断には相当な勇気が要りますから。面倒なので皆さんもできればパスワードを変えたくないはずですが、放置しておくと適当なパスワードをつける人が出てくるので、そうならない対策が必要になるはずです。

田中よくある危険なパスワード「12345」なども運用の形骸化といえますが、IT部門の立場としても人数が増えるほどそのパスワードを発行するだけでもかなりの労力がかかるため、誰も楽になっていませんよね。

川口先日は「第一回 全米サイバーセキュリティーと消費者保護サミット」の挨拶で、あのオバマ米国大統領ですら「メールなどインターネット作業のパスワードに『password』という語句を使ったことがある」と語ったくらいですからね。一般的にも、パスワードはできれば覚えやすいもので、定期変更したくないという意見が大半だと思います。

2種類の活用方法として2つの方向性が考えられる生体認証

田中先ほどから話が出ている生体認証ですが、その有効性はどうでしょうか。

川口こうした認証系の仕組みは重要ですね。内部の人を管理する視点では、運用を楽にしないとセキュリティが守られなくなりますし、積み重ねていくと運用コストも上がりいつかは破綻します。一方で外部からのサイバー攻撃という視点で考えると、SSOなど認証を便利にする機能は管理サーバが狙われる傾向にあります。

田中IDとパスワードでのセキュリティには、もはや限界がきているといえますね。それを解決するひとつのツールである生体認証は、どのように用いるのが有効なのでしょうか。

川口先ほどからのまとめになりますが、エンドユーザーに楽をさせるためのソリューション、もしくはセキュリティレベルを上げるためのソリューションという、2パターンの使い方があると思います。前者は、パスワードを打つ代わりに生体認証を用いる方法ですね。複雑なパスワード運用が期待しづらいのであれば、こうした活用方法は有効です。ある意味で、平均年齢の高い組織にも向いている方法かもしれません。

　後者については、パスワードと併用してセキュリティレベルを上げるために生体認証の情報を組み込む方法です。こちらは、個人を明確に特定したい業務区分がある場合に適しています。

田中なるほど。パスワード運用が難しくなっている現状では、いずれにせよ、生体認証は今お話していた両方を同時に実現できるソリューションと言えます。解決策として生体認証でユーザーの利便性を向上する、もしくはセキュリティレベルを強化するという2方向の考え方が有用になりそうですね。

　本日はありがとうございました。