“パスワード限界論”が導く「認証新時代」の行方
ID/パスワードを中心とした認証の在り方に変革が迫られています。パスワード以外の選択肢には何があるのか。パスワードの継続利用に必要な強化策とは。理想と現実の両面から探ります。
連載:“パスワード限界論”で再考する「認証システム」の現実解
“パスワード限界論”で再考する「認証システム」の現実解【第1回】
認証手段の標準として君臨してきたID/パスワード認証が、転換点を迎えている。“パスワード限界論”もささやかれる中、企業はどのような認証の姿を目指すべきなのか。まずは認証を取り巻く現状を整理する。
Special Issue -PR-
ワンタイムパスワードの普及により、二要素認証ソリューションの総所有コスト(TCO)の推計が可能になった。代表的な2つの二要素認証製品をTCOの観点で徹底検証。より強固なセキュリティをより低コストで実現できるのはどちらの製品か?
常陽銀行では、これまで顧客にインターネットバンキングで利用してもらっていたワンタイムパスワードによる二要素認証に加え、「モバイルプッシュの二経路認証」を採用した。スマートフォン時代に適した、利便性と高度なセキュリティを両立するその仕組みを紹介する。
認証を取り巻く“今そこにある危機”
カード情報を守り抜く“別経路”のセキュリティ対策【前編】
クレジットカード情報を保護するためには、「PCI DSS」が義務付けているセキュリティ対策だけでは不十分だ。本稿では、検討すべき“別経路”のセキュリティ対策を解説する。
「ソーシャルエンジニアリング攻撃」の処方せん【前編】
人の脆弱性を巧みに突く「ソーシャルエンジニアリング攻撃」に対抗するには、予防策を講じるだけで足りない。具体的な対処法を示す。
パスワードの使い回しは半数以上
従業員の多くがパスワードの使い回しや共有をしているために、会社が情報流出の危険にさらされている――。こんな実態が、米セキュリティ企業の調査で明らかになった。
重要データには「3要素認証」も
12億個のアカウントが乗っ取られるという前代未聞の事件が発生した。セキュリティ脅威の拡大で、2要素認証の徹底や定期的なパスワード変更などの対策が求められる可能性がある。
業務委託などで管理が複雑化
管理が不十分な特権アカウントを悪用した情報漏えい事件が相次いでいる。顧客情報の漏えいが起きたベネッセホールディングスをはじめ、企業が特権アカウント、特権IDを適切に扱えない理由は何なのか。
「アクセス権限は最小限に」の原則とは裏腹に
ユーザーには業務に必要なアクセス権のみ与えるべきだとセキュリティ専門家が説いてきたにもかかわらず、多くの企業がいまだに権限を適切に管理できていない実態が判明した。
今こそ見直す「Webセキュリティ対策」【第4回】
実在するID/パスワードを利用した「アカウントリスト型攻撃」が猛威を振るっている。対策が困難だといわれるアカウントリスト型攻撃にどう対処すべきなのか? 傾向と対策を整理する。
多要素認証の利用やポリシー教育の徹底を
マーケティングなどでの企業利用が進むソーシャルメディア。ただし、セキュリティ意識が希薄なままでのソーシャルメディア利用は大きなリスクを招く。現状の課題と対策を追った。
ログ監視による侵入検知も免れる
情報漏えいの半数以上は、デフォルトや推測されやすいパスワードの利用、ログイン情報の盗難が原因――。2011年に発生した情報漏えい事例90件の調査で明らかになった結果だ。
“パスワードのない世界”への道
Device Guardで信頼できないアプリをブロック
米Microsoftの次世代OS「Windows 10」には、生体認証機能「Windows Hello」とハードウェア技術を用いたセキュリティ機能「Device Guard」が新たに搭載される。2つの機能の詳細と新たな課題を解説する。
期待とリスクを探る
Appleの「Touch ID」はiOSのネイティブアプリとサードパーティーアプリに組み込むことができるようになり、幅広い使い方が可能になった。これにどう対応するかは企業次第だ。
3つの改善点
Windows 10プレビュー版のセキュリティ機能について、3つの改善点を専門家が解説する。
注目の次世代ユーザー認証技術
米Googleが買収したSlickLoginは、音を利用したユーザー認証技術を開発している。パスワードの置き換えや追加のセキュリティレイヤーとなる可能性を秘めている。果たして、同社買収におけるGoogleの思惑とは。
端末保護だけでは不十分
モバイル端末のリスク管理を成功させるためにはどうすべきか。モバイル端末そのものよりも、端末のデータの保護を優先する「データ中心アプローチ」に重点を置くべきだ。
本人確認だけではなく認証にも活用
本人確認だけではなく認証にも活用――iPhone 5sが搭載する指紋認証機能「Touch ID」によって、スマートフォンを使ってシステムやサービスのユーザー認証を行う流れが生まれる可能性がある。
フィッシング詐欺の対抗策
Webサイトごとに電子身分証明(ID)カードを作成できる「Uni-IDM」の狙いは、ユーザー名とパスワードの組み合わせに取って代わることだという。
パスワードは「インターネットの発展を阻害」
ID/パスワードは認証手段として機能していないどころか、インターネットの発展を阻害しているのではないか――。こうした考えの下、ID/パスワードの一掃に乗り出した非営利団体がある。
認証を取り巻く課題の解決策
多要素認証製品を賢く選ぶ第一歩
ID/パスワード認証の限界が指摘される中、注目度が高まりつつあるのが「多要素認証」だ。有力な多要素認証製品をチェックしていこう。
ユーザーは不便だと言うけれど
ID/パスワードに加えて、ICカードやUSB端末などでユーザーを認証してアカウントを制御する「2要素認証」方式。個人情報や会社の機密情報の漏えいを防ぐため、その採用が急速に増えている。
シンプルに見えて難しい
Appleのクラウドサービス「iCloud」から海外セレブのプライベート写真が流出した事件は記憶に新しい。そこからうかがえるのは、パスワードほどシンプルに見えて、これほど難しい問題はないということだ。
適切に管理しないとセキュリティ対策の穴に
「パスワードは既に時代遅れだ」という声もあるものの、パスワードに依存したシステムはまだ多く、適切に管理しないとセキュリティ対策の穴になりかねない。パスワードと賢く付き合う方法を伝授する。
週間記事ランキング
オンラインサービスを利用する上で欠かせないパスワード。その管理が面倒だと感じるiPhone/iPadユーザーにお勧めのパスワード管理アプリ8製品を紹介。直近1週間の人気コンテンツをランキング形式で紹介します。
パスワード使い回しはもうやめよう
パスワードは数が増えると管理が大変。ついつい同じパスワードの使い回しも……。そんなiPhone、iPadユーザーに向けて、安全性を維持したままで管理を簡単にするパスワード管理アプリを紹介する。
画像認証など認証方法が多様化
パスワード漏えいによる不正利用をいかに防ぐか。一度限りのパスワードを動的に発行する「ワンタイムパスワード」は、その有力な武器となる。主要な10製品をまとめた。
課題解決ナビ
システムの多様化が招くID/パスワードの増加は、従業員にもシステム担当者にも大きな負担を強いる。増加する一方のID/パスワードを安全に管理する方法を示す。
統合ID管理、SSO、特権ID管理の効果を把握
ID管理の効率化に役立つのが「ID管理製品」である。一口にID管理といっても、製品の種類によってその効果は大きく異なる。主要なID管理製品の導入効果を検証する。
From Informa TechTarget
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
ITmediaはアイティメディア株式会社の登録商標です。