「パスワード」はなぜ漏えいし、破られてしまうのか？：学校が知りたいIT製品選定の勘所：パスワード管理・生体認証編【前編】（1/2 ページ）

教育機関をはじめ、あらゆる組織におけるセキュリティ対策の基本ともいえる「認証」。その仕組みで最も一般的な「ID／パスワード認証」の安全性を疑う声が高まっている。その背景には何があるのか。

[武田一城，ラック]

学習活動でデバイスやオンラインサービスを活用する動きが広がる中、教育機関にとっても身近な存在となったID／パスワード認証が、岐路に立っている

　標的型攻撃や情報漏えいをはじめ、さまざまなセキュリティの事件が新聞やテレビなどのメディアを騒がしている。教育機関もサイバー攻撃対象の例外ではなく、国内の大学や教育委員会などのシステムを狙った攻撃が実際に明るみに出ている。こうした状況下でセキュリティ対策をおろそかにすることは、被害が生じやすい状況を自ら作り出している意味で“自業自得”といわれても仕方がないだろう。

　攻撃者は世界中に存在し、インターネットで1つにつながったサイバー空間で、より効率的な攻撃手法を日々研さんしながら、攻撃を続けている。それらの攻撃の全てに完全な対策をすることは非常に難しい。だが高価なセキュリティ対策機器の導入が難しい場合でも、OSやアプリケーションを最新の状態に保ったり、ファイアウォールやマルウェア対策など最低限のセキュリティ対策を適切に設定・運用したりするだけでも、一定レベルのセキュリティ対策は実施できる。

　セキュリティ対策の中で最も重要な要素の1つが「認証」だ。この「認証」という言葉になじみが薄い人もいるだろう。だがそれほど難しいものではない。単にシステムやネットワークに「誰がアクセスしたか」「アクセスをしてもよいかどうか」をチェックし、それが事前に定められた正規のものであれば「アクセスを許す」ことにすぎない。

IDとパスワードによる認証

　認証要素にはさまざまな種類がある。最も一般的なのは「ID」と「パスワード」を組み合わせた「ID／パスワード認証」だ。銀行のATM（現金自動預け払い機）やクライアントPC、携帯電話／スマートフォンの認証でもしばしばID／パスワード認証を利用するので、誰でも一度は体験したことがあるだろう。さまざまなデバイスやシステムが要求した際に、事前登録した正しいID／パスワードを入力する行為が、あなたの操作を正規のアクセスとして認証するのだ。

　本稿を読んでいる皆さんは既に、漏れなく何回かの認証を経ている。1つ目は設定にもよるが、手持ちのPCにログインしたり、スマートフォンのロックを解除したりする際の認証だ。さらに本稿を掲載するTechTargetジャパンは会員制サイトであり、そこへのログインが2つ目の認証となる。皆さんのデバイスが組織内のLANにある場合は、「LDAP」「Active Directory」といったディレクトリサービスの認証を経ないと、LANに接続できないように設定されていることがある。そのため場合によっては、3段階またはそれ以上の認証を経て、本稿を読んでいることになる。

　このように認証は、皆さんがIT機器を利用する際に自然と経験しているプロセスなのである。

併せて読みたいお薦め記事

失敗しない「学校IT製品」の選び方：不正侵入対策編

• 学校システムへの不正侵入が招く「最悪のシナリオ」とは？
• 「無線LAN」が学校のセキュリティ対策を台無しにする“真犯人”だった？

「佐賀県情報漏えい事件」で再考する学校セキュリティ

• 17歳少年が不正アクセス　佐賀県教育システム「SEI-Net」を責められない理由
• 佐賀県教育システム「SEI-Net」を情報漏えいの舞台に変えた“真犯人”とは？
• 予算がなくても最低限やってほしい、学校のセキュリティ対策「3つのポイント」

安易なID／パスワードが引き起こす問題