クラウドやモバイルの普及で、より便利な働き方ができるようになった。しかし、利便性と引き換えに知らず知らずのうちに新たなセキュリティリスクも抱え込んでいるのも現実だ。2017年6月6日、ZDNet Japan × TechRepublic Japan セキュリティセミナー「求められるのは全体の効率化 〜高度化する攻撃には事前と事後で対応する時代〜」に登壇したソフトバンク コマース&サービス ICT事業本部の増田立夫氏は、そうしたクラウドやモバイルに潜むリスクと、それに対する効果的なセキュリティ対策を解説した。
利便性を考慮したセキュリティがトレンドに
ソフトバンク コマース&サービス
ICT事業本部 MD本部
技術統括部 第1技術部 3課
VMware vEXPERT
増田立夫氏
増田氏はまず、今日の企業ユーザーは、クラウド、モバイル、PCといったさまざまな環境でアプリケーションを利用するようになり、複数のパスワードやIDを使わざるをえなくなったと指摘。それに伴って、パスワード(鍵)が流出して、知らないうちに鍵が利用される危険性に直面するようになったと説明した。
「WannaCryのようなランサムウェアや標的型攻撃のように、パスワードを狙った攻撃は増えています。特に、パスワードはインターネット上に保存される時代になり、狙われやすくなってきています」(増田氏)
実際、国や政府組織では、ユーザーに向けて、「パスワードは貴重品のように管理すること」「IDとパスワードは他人に教えないこと」などを注意喚起している。それでも流出が続いているというのが現状だ。
しかし、鍵を強固にすれば解決する問題でもない。例えば、家の鍵の管理を信頼できる管理人に代えればセキュリティは高まるが、いちいち管理人を呼んでいては利便性が下がってしまう。このように、セキュリティにおいてユーザーの利便性を考慮することは、最近のトレンドの1つになってきている。
定期的なパスワードの変更は、かつてはセキュリティを高めるものとされていた。だが、実際には、定期変更を強要することで、むしろ簡単なパスワードを設定しやすくなることから、NIST(米国立標準技術研究所)でも「非推奨」になるだろうと見られている。
また、パスワードに利用できる文字についても、8文字の英数字だけでなく、システム的に「日本語(UNICODE)を許容することが推奨されるようになった。日本語を入力できる環境からでなければアクセスできなくなるため、不正アクセスしようとする攻撃者をそれだけで除外することができるようになるわけだ。
「同じように、クラウド上に保存されるIDやパスワードの管理もクラウド上で行うことで、ガバナンスを強化しようという動きが進んでいます。その1つがIDaaS(Identity as a Service)と呼ばれるクラウドサービスです」と増田氏は話す。