セキュリティ対策として認証を強化したい。でもユーザーの利便性は損ないたくない。できれば運用負荷も抑えたい――。こうした多様なニーズに応える認証システムの条件とは何か?
企業のデータやアプリケーションに最も近いセキュリティ対策は「認証システム」である。認証システムは、使用者が本当にシステムへアクセスしてよいかどうかを確認する仕組みだ。そのため、認証システムに不備があってはならない。悪意のある第三者が、容易に正規のユーザーに成り済まして侵入できるようでは無意味である。実際、ブルートフォース攻撃やパスワードリスト攻撃など、パスワードに依存した認証システムの欠点を狙った攻撃が相次いで明るみに出ている。
一方、認証システムは、ユーザーの利便性を損なう可能性もある。安全性をむやみに追求して、ユーザーにとって非常に困難な認証ルールを設けてしまっては、ビジネスに影響を与えかねない。管理者にも大きな負担が掛かるし、コストも大きくなる可能性がある。しかも、保護の対象がミッションクリティカルなシステムであればあるほど、必要なときに必要なユーザーが確実にアクセスできなければ意味がない。
「少々利便性を犠牲にしても、安全な方がよい」という意見もあるだろう。ただし、認証を複雑にして利便性を損ねると、かえってセキュリティホールを生む可能性もある。複雑なパスワードを強制することにより、それを覚えきれないユーザーが、デスクトップPCにパスワードを書いたメモを貼り付けるようになるかもしれない。
管理負荷を高めることなく、かつ安全性と利便性を両立できる認証システムはないのだろうか? こうしたニーズに応えるのが、多様な認証方式を備えたクラウド形式の認証システムだ。その具体例を見ていこう。
提供:日本セーフネット株式会社
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
