2017年08月24日 05時00分 UPDATE
特集/連載

学校が知りたいIT製品選定の勘所:パスワード管理・生体認証編【前編】「パスワード」はなぜ漏えいし、破られてしまうのか? (1/2)

教育機関をはじめ、あらゆる組織におけるセキュリティ対策の基本ともいえる「認証」。その仕組みで最も一般的な「ID/パスワード認証」の安全性を疑う声が高まっている。その背景には何があるのか。

[武田一城,ラック]

関連キーワード

教育 | 教育IT | 認証 | 生体認証


画像 学習活動でデバイスやオンラインサービスを活用する動きが広がる中、教育機関にとっても身近な存在となったID/パスワード認証が、岐路に立っている

 標的型攻撃や情報漏えいをはじめ、さまざまなセキュリティの事件が新聞やテレビなどのメディアを騒がしている。教育機関もサイバー攻撃対象の例外ではなく、国内の大学や教育委員会などのシステムを狙った攻撃が実際に明るみに出ている。こうした状況下でセキュリティ対策をおろそかにすることは、被害が生じやすい状況を自ら作り出している意味で“自業自得”といわれても仕方がないだろう。

 攻撃者は世界中に存在し、インターネットで1つにつながったサイバー空間で、より効率的な攻撃手法を日々研さんしながら、攻撃を続けている。それらの攻撃の全てに完全な対策をすることは非常に難しい。だが高価なセキュリティ対策機器の導入が難しい場合でも、OSやアプリケーションを最新の状態に保ったり、ファイアウォールやマルウェア対策など最低限のセキュリティ対策を適切に設定・運用したりするだけでも、一定レベルのセキュリティ対策は実施できる。

 セキュリティ対策の中で最も重要な要素の1つが「認証」だ。この「認証」という言葉になじみが薄い人もいるだろう。だがそれほど難しいものではない。単にシステムやネットワークに「誰がアクセスしたか」「アクセスをしてもよいかどうか」をチェックし、それが事前に定められた正規のものであれば「アクセスを許す」ことにすぎない。

IDとパスワードによる認証

 認証要素にはさまざまな種類がある。最も一般的なのは「ID」と「パスワード」を組み合わせた「ID/パスワード認証」だ。銀行のATM(現金自動預け払い機)やクライアントPC、携帯電話/スマートフォンの認証でもしばしばID/パスワード認証を利用するので、誰でも一度は体験したことがあるだろう。さまざまなデバイスやシステムが要求した際に、事前登録した正しいID/パスワードを入力する行為が、あなたの操作を正規のアクセスとして認証するのだ。

 本稿を読んでいる皆さんは既に、漏れなく何回かの認証を経ている。1つ目は設定にもよるが、手持ちのPCにログインしたり、スマートフォンのロックを解除したりする際の認証だ。さらに本稿を掲載するTechTargetジャパンは会員制サイトであり、そこへのログインが2つ目の認証となる。皆さんのデバイスが組織内のLANにある場合は、「LDAP」「Active Directory」といったディレクトリサービスの認証を経ないと、LANに接続できないように設定されていることがある。そのため場合によっては、3段階またはそれ以上の認証を経て、本稿を読んでいることになる。

 このように認証は、皆さんがIT機器を利用する際に自然と経験しているプロセスなのである。

安易なID/パスワードが引き起こす問題

       1|2 次のページへ

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news077.jpg

電通が学生と企業の共創プロジェクト「βutterfly」を開発、企業向けにスポンサードプランを提供
電通は、顧客企業と学生の協働型プロジェクト「βutterfly」を開始すると発表した。β版...

news040.jpg

「インバウンド」で注目される浅草、訪日外国人観光客で賑わう理由とは?
口コミ時代のWebとソーシャルメディアは最大の武器。最小限の手間で最大の効果を発揮する...

news103.png

オムニバス、「セゾンDMP」を活用したターゲティング広告を提供
クレディセゾンの100%子会社オムニバスは、クレディセゾンが保有するクレジットカードの...