教育機関がIT活用を安全に進めるために重要な役割を果たす認証。管理の煩雑さが危険な運用につながりかねないID/パスワード認証に代わる、教育現場にとって現実的な認証手段を考える。
皆さんは、8文字以上の大文字と小文字、数字、記号を組み合わせたパスワードを幾つ覚えられるだろうか。複雑で強固なパスワードであればあるほど、覚えられる数は減ってしまうだろう。
ID/パスワード認証は、情報システムの認証手段として古くから幅広く利用されてきた。クラウドサービスやモバイルデバイスの普及でITがより身近な存在となる中、エンドユーザーが覚えなければならないパスワードの数は膨大になっている。教育関係者や学習者を含め、一般の人が数十〜数百種類のWebサイトやWebアプリケーションなどのサービスを利用することが、珍しくなくなったからだ。
サービスごとに個別かつ複雑なパスワードを設定すればよいのだが、それが非常に難しい。最初は覚えていても、利用するサービスが増えて覚えるべきパスワードが増えるほど、覚えておくのがより大変になる。それぞれのパスワードを複雑にすると管理が難しくなるために、覚えやすさから安易なパスワードを設定してしまうエンドユーザーは少なくない。
特定のサービスに複雑なパスワードを設定したとしても、さまざまなサービスでそのパスワードを使い回してしまえば、どこかのサービスからそれが漏えいしてしまった場合に認証が破られてしまう。ソーシャルネットワーキングサービス(SNS)や情報サイトなど全てのサービスに複雑なパスワードを設定し、それを覚えておくには、“超能力”に近い特殊能力が必要になってくる。
「パスワードの定期更新」という運用も、パスワード管理の難しさに拍車を掛ける。定期的にパスワードを更新すれば、第三者がID/パスワードを窃取した場合にも認証を破られる可能性が低くなる、という考え方に基づく運用だ。本来はセキュリティ対策の効果を高めるための運用なのだが、更新のたびに新たなパスワードが生まれることから、管理しなければならないパスワードをさらに増やす状況を生んでしまっている。
ID/パスワードの漏えいが発生したり、その懸念があったりした場合には、当然ながら必ずパスワードを変更しなければならない。仮に漏えいしていても、パスワードを変更して漏えいしたパスワードを無効化すれば、不正ログインといった実害を防ぐことができるからだ。ただし定期更新は、前述の弊害があることに加え、効果についてはセキュリティの専門家の間でも意見が分かれており、その是非を判断するのは非常に難しい。
エンドユーザーにパスワードの管理方法を自己責任として放置していることが、パスワード管理の問題をますます深くしていると考えられる。パスワードの管理をエンドユーザーの自己責任にするのは、限界に達していると言っていいだろう。こうした状況に対処するための手段として、ID/パスワード認証の代替策の採用がある。主なものを以下に示す。
「インクルーシブマーケティング」実践のポイントは? ネオマーケティングが支援サービスを提供
ネオマーケティングは、インクルーシブマーケティングの実践に向けたサービスを開始した...
Xが新規アカウントに課金するとユーザーはどれほど影響を受ける? そしてそれは本当にbot対策になるのか?
Xが新規利用者を対象に、課金制を導入する方針を表明した。botの排除が目的だというが、...
Googleの次世代AIモデル「Gemini 1.5」を統合 コカ・コーラやロレアルにも信頼される「WPP Open」とは?
世界最大級の広告会社であるWPPはGoogle Cloudと協業を開始した。キャンペーンの最適化、...