ITを単なるコスト削減ツールとしてだけでなく、新しい価値を生み出す武器と見なし、企業の競争力強化に役立てるデジタルトランスフォーメーションの波が日本にも及びつつある。この変革にともない、長らく企業ITシステムを支えてきたオンプレミスの環境から、クラウドサービスを基盤としたWebアプリケーションやスマホアプリを活用した、新しいITシステムへと移行する企業も増加してきた。いわゆる「働き方改革」のかけ声も、このトレンドを後押ししている。
かつてないITインフラの変化にともない、セキュリティ対策のあり方もまた、変化を求められている。
オンプレミスに重要なシステムとデータが閉じていた時代には、境界部分をしっかり監視して、不正な攻撃が入り込まないよう防御することが対策の中心だった。しかしクラウドサービスの普及にともない、データもユーザーも壁を飛び越えて動き回るようになった。場所やデバイスを問わずにアクセスし、活用できる環境自体は歓迎すべきことだが、セキュリティ担当者の観点からは、守るべきポイントがあちこちに分散してしまうことを意味する。
そして、分散した防御ポイントのセキュリティレベルは、個々のユーザーがID情報をどれだけ適切に、厳密に利用できるかに依存する。これまで以上に、ID管理の重要性が高まっているのだ。
パスワードだけの認証ではなりすましが容易に
2017年のセキュリティ動向を振り返ると、ランサムウェアが大きな話題になったが、フィッシングメールや悪意あるサイトを用いてユーザーのIDとパスワードを盗み取り、悪用する手口も後を絶たない。もし業務用アカウントやシステム管理者のような大きな権限が許されているIDの情報が盗まれると、機密情報や個人情報の流出など、大きな被害につながる恐れがある。事実、米ベライゾンがまとめている「データ漏洩/侵害調査報告書」(DBIR)によると、情報漏洩事件の8割は、盗み取られたID・パスワードに起因しているという。
その上クラウドサービスの普及に伴い、ID管理を巡る状況はさらに悪化している。1人のユーザーが管理すべきアカウントは、これまでにないほど増加してきた。悪用を防ぐ観点から、サービスごとに異なるパスワードを使い分けることが推奨されているが、これだけアカウントが増えるとその管理もままならず、適切に管理しきれない状況だ。総務省の調べによると、ユーザーの8割は何らかの形でパスワードを使い回しているという。
EMCジャパン
RSA システムズ・エンジニアリング部
シニアシステムズ・エンジニア
齊藤亘氏
理由の一つは、複雑なパスワードを設定し、しかも数カ月に1回というペースで変更を求めるという、普通の人間には難しいルールを求めていることにもあるだろう。米NISTは2017年にガイドラインを変更し、「パスワードの定期変更」を強制してもさほどセキュリティ上の有効性がないことを明らかにしたが、これまでの慣習から、いまだに定期変更を義務づけているシステムは少なくない。結局、覚えきれないパスワードを付箋に書き出して管理する、という悪弊が続くことになる。
残念ながら「パスワードはなりすましがもっともやりやすい認証方法だ」と、EMCジャパン RSA システムズ・エンジニアリング部 シニアシステムズ・エンジニアの齊藤亘氏は指摘し、セキュリティの強度という面でも、また運用管理やユーザーの利便性という側面からも課題が残り、一歩進んだ認証システムが必要だと訴えた。
3つの認証方式の組み合わせが重要、利便性・管理性との両立もポイントに
過去20年以上にわたって認証ソリューションを提供してきたRSAによると、認証方法は大きく3つに大別できる。パスワードやPINコード、乱数表の場所といった具合にユーザーが「知っているもの」を用いる方法が1つ。ICカードやトークン、デジタル証明書、あるいはワンタイムパスワードトークンのようにユーザーが「持っているもの」を用いる方法が2つ目。そして3つ目は、指紋や顔、声、虹彩、網膜などバイオメトリクス情報を用いる「ユーザー自身」を識別に用いる方法だ。
3つのタイプそれぞれに特徴があるが、大事なことは「同じタイプを重ねて用いるのではなく、異なるタイプの認証方法を組み合わせることが、認証の強化につながる」(齊藤氏)という点だ。
もう1つ重要なポイントがある。セキュリティ向上だけでなく利便性、管理性を損なってはならないということだ。守るべきシステムやデータの重要度によるのは大前提だが、常に「3カ月ごとに必ずパスワードを変更すること」「常に複数の認証を減ること」といったポリシーを強制していては、ユーザーに必要以上の煩雑さを強いることになり、抜け道を探す動機になりかねない。IT担当者も、「急いでアクセスしたいけれどパスワードを忘れてしまった」といった問い合わせに忙殺されることになる。ガチガチに固めるのではなく、既存の環境やプロセスに合わせて必要十分なレベルの認証方法を実現することが大切だ。
忘れがちだが、旧来のオンプレミス環境との共存についても留意が必要だ。イチから始めるスタートアップ企業ならばともかく、たいていの企業は、何らかの形でオンプレミスに重要なシステムを保有しており、クラウドとオンプレミスを組み合わせたハイブリッドなシステム環境を運用しているだろう。このとき、オンプレミスとクラウドとで別々の認証基盤を運用していては負荷が大きい上、アカウント情報の同期に漏れ・ずれといったミスが発生しやすい。どちらもカバーできる統一された仕組みがあることが望ましい。
