Column依然続くパスワード管理の悩み、いまだ解決の決め手なし

パスワードが使われている限り、それを付せん紙に書き留めるユーザーは後を絶たない。だが、バイオメトリクスや認知心理学を応用した認証方式はまだ普及の段階とは言えない。

[Shamus McGillicuddy，TechTarget]

　パスワードが使われる限り、PCにベタベタと黄色い付せんがはられているのをあちこちで見かけることになるだろう。

　こうした習慣のリスクは明らかであり、賢明なパスワード管理方法が数多くあるにもかかわらず、ITマネジャーは、パスワードを安易にメモしないようユーザーを説得できていないようだ。

　これではパスワードの盗難が起こるのは避けられそうもない。

　ニュークリアス・リサーチが先ごろ実施した325人のユーザーに対する調査によると、ユーザーの3人に1人がコンピュータパスワードを紙に書き留めるか、電子的に保存している。

　この調査では、企業がパスワード管理に取り組んでも、パスワードを記録するというユーザーの習慣は一向に変わらない現状も明らかになった。IT部門は、ユーザーが複雑なパスワードを作成し、頻繁にパスワードを変更し、シングルサインオンか複数のパスワードを利用して各種アプリケーションにアクセスするといったプロセスを整備することはできる。だが、それでもユーザーはパスワードをメモするという。

　「言ってみれば、両親が家に強力な防犯システムを設置したのに、子どもがシステムの鍵をドアマットの下に置いているようなものだ」とニュークリアスリサーチの上級アナリスト、デビッド・オコンネル氏は語る。

　パスワードを記録していると答えた33％の回答者のうち、3分の1はパスワードを紙に書き留めており、3分の2はテキストファイルに記録してコンピュータやPDAに保存している。

　「従業員がパスワードを紙に書き留めていると、企業はソーシャルエンジニアリングによる攻撃に非常に無防備になる」とオコンネル氏。「攻撃者がまんまと会社に入り込み、オフィスを歩き回って、パスワードが書かれた黄色い付せんを見つけ出す恐れがある。これは現実に起こることだ」

　オコンネル氏は、パスワードを電子的に記録するのも、紙に書く以上にではないにしても、同様に危険なことだと語る。

　「ノートPCやPDAはよく盗まれる。狙われているということだ。例えば、業界イベントは、ノートPCを物色して盗むのに格好の場だろう。盗んだら、『password』をキーワードにして検索すれば、パスワードをたくさん記録したファイルが見つかるはずだ」（オコンネル氏）

　ニュークリアスの調査では、70％のユーザーが年に1回の頻度で、パスワードを紛失したり忘れたためにITヘルプデスクに電話することも分かった。こうした理由でヘルプデスクに電話する回数が年に2〜3回のユーザーが16％、4〜5回のユーザーが9％、6回以上のユーザーが5％となっている。

　非営利金融機関トラビスクレジットユニオンのプロセス改善／ネットワーク・セキュリティ担当副社長、リチャード・ローク氏は、トラビスは、パスワードの盗難で被害に遭ったことはないと語る。だが、一部の職員はパスワード管理がややルーズだったと同氏は認めている。

　「職員がほかの職員に自分のパスワードを教えて、彼らがログインできるようにするといったことが頻発していた。われわれはそれを知ってすぐに厳しく禁止した。そして、パスワードは誰にも、ITスタッフにも教えてはならないことを職員全員に周知する教育を徹底した」（ローク氏）

バイオメトリクスは救世主となるか

　パスワード管理の負担に悩む企業がバイオメトリクスの活用を模索する動きも出ており、一定の成功を収めているケースもある。しかし専門家は、バイオメトリクス製品はまだ十分に成熟していないと指摘している。

　トラビスクレジットユニオンでは、78のアプリケーションで何らかのユーザー名とパスワードが必要だったことから、ヘルプデスク担当者は、パスワードが分からなくなったユーザーからの問い合わせに対応するためだけに、1日平均1時間も費やしていた。

　ローク氏はこの問題を解消する手段として、バイオメトリクスを選択した。同氏は指紋認証技術を採用したが、当初は精度に難があった。

　「この技術はまだ成熟していなかった」と同氏。「70％の人についてはうまく機能した。しかし、わたしの上司を含むそれ以外の人の場合は、少なくとも5回は試みないと指紋が登録されなかった」

　ローク氏は昨年、指紋認証製品を提供するデジタルペルソナにベンダーを切り替えた。その後、同氏は同社のソフトウェアと指紋読取装置を組織全体に導入した。

　「もう1年以上利用している」とローク氏。「われわれが使ってきた中で一番優れたソリューションの1つだ。ヘルプデスクへの問い合わせは減少しており、エンドユーザーはユーザー名とパスワードをすべて覚える必要がなくなった」

　ローク氏は、指紋認証装置がユーザーを認識しなかった場合の補助的な認証方法として、パスワードを引き続き利用している。だがこれまでのところ、トラビスクレジットユニオンの412人の職員のうち、指紋認証で何らかのトラブルを経験した人は1人しかいない。

　フォレスターリサーチのアイデンティティー／セキュリティ担当主席アナリスト、ジョナサン・ペン氏は、バイオメトリクス認証は、現在のパスワード認証よりもはるかに安全だと語る。ただし、バイオメトリクスは、PIN付きスマートカードや、ワンタイムパスワードトークン、USBトークンなど、企業が検討している多くのアプローチの1つにすぎないという。

　実のところ、バイオメトリクス技術の普及までの道のりはまだ遠い。

　「この技術は驚くほど簡単にハッキングできる」とニュークリアスリサーチのオコンネル氏は指摘する。「ある指紋スキャナの場合、ハッカーは幾つかの一般的なキッチン用品を使って、スキャナが使われた後の残留指紋をコピーすることに成功している。ほかの認証方法よりもハッキングしやすいとは言わないが、バイオメトリクス技術はまだ、広く支持される条件が整っていない」

　「バイオメトリクス認証は、顔や指紋、声紋など、どんな身体的特徴を利用するものもまだ未成熟であり、セキュリティ担当者は健全な懐疑心を持って取り組んでいる」とペン氏は語る。

　トラビスクレジットユニオンのローク氏は、同機関が導入したデジタルペルソナの技術について、一般的な手法でハッキングを試みるテストを行った。同社の指紋スキャナはハッキングを阻止したという。

　ペン氏によると、指紋認証製品ベンダーはハッキング対策を強化している。だが、フォールスポジティブ、フォールスネガティブの誤認や、何度も読み取りを行ってやっと正しく認識されるというトラブルの頻発が、依然として問題となっていると同氏は指摘している。

認知心理学を応用した“パスソート”認証

　オコンネル氏によると、認知バイオメトリクスという新分野の認証ソフトウェアが登場してきている。同氏はこうしたバイオメトリクス技術を最も有望と考えている。

　「こうした技術による認証では、人々はパスワードではなく、『パスソート（Passthoughts）』で認証される」とオコンネル氏。

　認知バイオメトリクスソフトウェアは、個々のユーザーにお気に入りの思い出を尋ねることで、各ユーザーについて学習する。そしてユーザーにこうした思い出について質問し、その答えによってユーザー認証を行える。また、応答時間やマウスの動きなど、ユーザーのコンピュータ操作の細かい特徴を追跡することもできる。

　認知バイオメトリクスベンダーのコグネトのパトリック・オードリーCTO（最高技術責任者）は、コグネトのシステムは、質問に対するユーザーの回答を追跡するだけでなく、ログオン中のユーザーがコンピュータをどのように操作するかも追跡すると語る。例えば、マウスの使い方など、ユーザーのコンピュータ操作の仕方が普段と違う場合には、コグネトのシステムはそのユーザーをログオフさせることができる。また、ユーザーが普段とは異なる場所からログオンした場合には、同社のシステムは追加の認証情報を要求できる。

　「彼らのシステムはこのような変数、つまり、ある人のコンピュータ操作のやり方の中で他人にはまねできない要素を使って、本人確認を行う」とオコンネル氏。「そうした要素は覚える必要がまったくない。そもそも覚えられるものではない」

　オコンネル氏は、どの企業にとっても最も効果的な認証アプローチは、異なる認証方法を組み合わせて利用することだろうと語る。例えば、コグネトは、一部のバイオメトリクス情報読取技術と同社のソフトウェアを統合している。また、オードリー氏によると、コグネトは自社製品を「パスワードを補強するシステム」と位置付けているという。