企業ITシステムでは、PCローカル、ネットワーク、基幹システム、アプリケーションなど、ほとんどのレイヤーで「認証」を必要としている。昨今の企業情報漏えい事件における約80%が社内から発生していることを考えれば、システムを利用する権限を管理し、認証を行うアクセスセキュリティ対策はコーポレートガバナンスのいろはの“い”ともいえる。
アクセスセキュリティの礎である認証は多くの場合、あらかじめ利用を許可されたユーザーを認証するもので、多くの認証システムでユーザーIDとパスワードによる認証を採用している。しかし、ID/パスワードは単純な文字列の情報であり、セキュリティレベルを維持することは困難だ。ユーザーは利用するシステムごとにID/パスワードを覚え、管理し、認証ごとに入力しなければならない。その際、例えば備忘として付せんにID/パスワードを記入するといったユーザーの不用意な管理が原因となりID/パスワード情報自体が漏えいしてしまうなど、不正アクセスや情報流出を引き起こす問題ともなっている。
こうしたID/パスワードの脆弱性の問題を打破するために広く採用されているのが、ICカードやトークンなどによるデバイス認証だ。デバイス認証は文字列の認証情報であるID/パスワードとは異なり、物理的にデバイスが認証情報を格納しているため、ユーザーの管理負担は飛躍的に軽減され、同時に認証情報自体が漏えいする可能性も低くなる。さらに、デバイス認証にOTP(One Time Password)やPKI(Public Key Infrastructure)などの強いクレデンシャル(パスワードや暗号鍵などユーザーの本人性を証明する情報)を複合するソリューションは、高いセキュリティレベルを実現する。しかし、デバイスそのものの紛失・貸し借りなどにより、クレデンシャルがデバイスごと本人以外の第三者の手に渡った結果、不正アクセスを許してしまうという脆弱性は否めない。つまり、“なりすまし”を防ぐことはできないのである。
こうしたアクセスセキュリティにおける共通の大きな課題ともいえるのが本人認証である。
ツイートから見る訪日外国人の高評価観光スポット――東京海上日動火災保険とNTTデータ調査
ソーシャルビッグデータを活用した全国インバウンド観光調査の結果です。
AmazonがAppleとGoogleを抑えトップブランドに――BrandZ 2019
世界最大級の広告代理店WPPとその調査・コンサルティング業務を担うKantarによる「世界で...
人工知能「Adobe Sensei」は日本のデジタル広告市場をどう変えるのか
「Adobe Advertising Cloud」の事業責任者に広告業界で経験豊富なエキスパートが就任。日...
ITmediaはアイティメディア株式会社の登録商標です。
