パスワードだけに頼る認証との決別を決める時

ZDNet Japan Ad Special 2018年01月18日 11時00分

  • このエントリーをはてなブックマークに追加

[PR]ITを単なるコスト削減ツールとしてだけでなく、新しい価値を生み出す武器と見なし、企業の競争力強化に役立てるデジタルトランスフォーメーションの波が日本にも及びつつある。

 ITを単なるコスト削減ツールとしてだけでなく、新しい価値を生み出す武器と見なし、企業の競争力強化に役立てるデジタルトランスフォーメーションの波が日本にも及びつつある。この変革にともない、長らく企業ITシステムを支えてきたオンプレミスの環境から、クラウドサービスを基盤としたWebアプリケーションやスマホアプリを活用した、新しいITシステムへと移行する企業も増加してきた。いわゆる「働き方改革」のかけ声も、このトレンドを後押ししている。

 かつてないITインフラの変化にともない、セキュリティ対策のあり方もまた、変化を求められている。

 オンプレミスに重要なシステムとデータが閉じていた時代には、境界部分をしっかり監視して、不正な攻撃が入り込まないよう防御することが対策の中心だった。しかしクラウドサービスの普及にともない、データもユーザーも壁を飛び越えて動き回るようになった。場所やデバイスを問わずにアクセスし、活用できる環境自体は歓迎すべきことだが、セキュリティ担当者の観点からは、守るべきポイントがあちこちに分散してしまうことを意味する。

 そして、分散した防御ポイントのセキュリティレベルは、個々のユーザーがID情報をどれだけ適切に、厳密に利用できるかに依存する。これまで以上に、ID管理の重要性が高まっているのだ。

パスワードだけの認証ではなりすましが容易に

 2017年のセキュリティ動向を振り返ると、ランサムウェアが大きな話題になったが、フィッシングメールや悪意あるサイトを用いてユーザーのIDとパスワードを盗み取り、悪用する手口も後を絶たない。もし業務用アカウントやシステム管理者のような大きな権限が許されているIDの情報が盗まれると、機密情報や個人情報の流出など、大きな被害につながる恐れがある。事実、米ベライゾンがまとめている「データ漏洩/侵害調査報告書」(DBIR)によると、情報漏洩事件の8割は、盗み取られたID・パスワードに起因しているという。

 その上クラウドサービスの普及に伴い、ID管理を巡る状況はさらに悪化している。1人のユーザーが管理すべきアカウントは、これまでにないほど増加してきた。悪用を防ぐ観点から、サービスごとに異なるパスワードを使い分けることが推奨されているが、これだけアカウントが増えるとその管理もままならず、適切に管理しきれない状況だ。総務省の調べによると、ユーザーの8割は何らかの形でパスワードを使い回しているという。


EMCジャパン
RSA システムズ・エンジニアリング部
シニアシステムズ・エンジニア
齊藤亘氏

 理由の一つは、複雑なパスワードを設定し、しかも数カ月に1回というペースで変更を求めるという、普通の人間には難しいルールを求めていることにもあるだろう。米NISTは2017年にガイドラインを変更し、「パスワードの定期変更」を強制してもさほどセキュリティ上の有効性がないことを明らかにしたが、これまでの慣習から、いまだに定期変更を義務づけているシステムは少なくない。結局、覚えきれないパスワードを付箋に書き出して管理する、という悪弊が続くことになる。

 残念ながら「パスワードはなりすましがもっともやりやすい認証方法だ」と、EMCジャパン RSA システムズ・エンジニアリング部 シニアシステムズ・エンジニアの齊藤亘氏は指摘し、セキュリティの強度という面でも、また運用管理やユーザーの利便性という側面からも課題が残り、一歩進んだ認証システムが必要だと訴えた。

3つの認証方式の組み合わせが重要、利便性・管理性との両立もポイントに

 過去20年以上にわたって認証ソリューションを提供してきたRSAによると、認証方法は大きく3つに大別できる。パスワードやPINコード、乱数表の場所といった具合にユーザーが「知っているもの」を用いる方法が1つ。ICカードやトークン、デジタル証明書、あるいはワンタイムパスワードトークンのようにユーザーが「持っているもの」を用いる方法が2つ目。そして3つ目は、指紋や顔、声、虹彩、網膜などバイオメトリクス情報を用いる「ユーザー自身」を識別に用いる方法だ。

 3つのタイプそれぞれに特徴があるが、大事なことは「同じタイプを重ねて用いるのではなく、異なるタイプの認証方法を組み合わせることが、認証の強化につながる」(齊藤氏)という点だ。

 もう1つ重要なポイントがある。セキュリティ向上だけでなく利便性、管理性を損なってはならないということだ。守るべきシステムやデータの重要度によるのは大前提だが、常に「3カ月ごとに必ずパスワードを変更すること」「常に複数の認証を減ること」といったポリシーを強制していては、ユーザーに必要以上の煩雑さを強いることになり、抜け道を探す動機になりかねない。IT担当者も、「急いでアクセスしたいけれどパスワードを忘れてしまった」といった問い合わせに忙殺されることになる。ガチガチに固めるのではなく、既存の環境やプロセスに合わせて必要十分なレベルの認証方法を実現することが大切だ。

 忘れがちだが、旧来のオンプレミス環境との共存についても留意が必要だ。イチから始めるスタートアップ企業ならばともかく、たいていの企業は、何らかの形でオンプレミスに重要なシステムを保有しており、クラウドとオンプレミスを組み合わせたハイブリッドなシステム環境を運用しているだろう。このとき、オンプレミスとクラウドとで別々の認証基盤を運用していては負荷が大きい上、アカウント情報の同期に漏れ・ずれといったミスが発生しやすい。どちらもカバーできる統一された仕組みがあることが望ましい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算