教育機関がIT活用を安全に進めるために重要な役割を果たす認証。管理の煩雑さが危険な運用につながりかねないID/パスワード認証に代わる、教育現場にとって現実的な認証手段を考える。
皆さんは、8文字以上の大文字と小文字、数字、記号を組み合わせたパスワードを幾つ覚えられるだろうか。複雑で強固なパスワードであればあるほど、覚えられる数は減ってしまうだろう。
ID/パスワード認証は、情報システムの認証手段として古くから幅広く利用されてきた。クラウドサービスやモバイルデバイスの普及でITがより身近な存在となる中、エンドユーザーが覚えなければならないパスワードの数は膨大になっている。教育関係者や学習者を含め、一般の人が数十〜数百種類のWebサイトやWebアプリケーションなどのサービスを利用することが、珍しくなくなったからだ。
サービスごとに個別かつ複雑なパスワードを設定すればよいのだが、それが非常に難しい。最初は覚えていても、利用するサービスが増えて覚えるべきパスワードが増えるほど、覚えておくのがより大変になる。それぞれのパスワードを複雑にすると管理が難しくなるために、覚えやすさから安易なパスワードを設定してしまうエンドユーザーは少なくない。
特定のサービスに複雑なパスワードを設定したとしても、さまざまなサービスでそのパスワードを使い回してしまえば、どこかのサービスからそれが漏えいしてしまった場合に認証が破られてしまう。ソーシャルネットワーキングサービス(SNS)や情報サイトなど全てのサービスに複雑なパスワードを設定し、それを覚えておくには、“超能力”に近い特殊能力が必要になってくる。
「パスワードの定期更新」という運用も、パスワード管理の難しさに拍車を掛ける。定期的にパスワードを更新すれば、第三者がID/パスワードを窃取した場合にも認証を破られる可能性が低くなる、という考え方に基づく運用だ。本来はセキュリティ対策の効果を高めるための運用なのだが、更新のたびに新たなパスワードが生まれることから、管理しなければならないパスワードをさらに増やす状況を生んでしまっている。
ID/パスワードの漏えいが発生したり、その懸念があったりした場合には、当然ながら必ずパスワードを変更しなければならない。仮に漏えいしていても、パスワードを変更して漏えいしたパスワードを無効化すれば、不正ログインといった実害を防ぐことができるからだ。ただし定期更新は、前述の弊害があることに加え、効果についてはセキュリティの専門家の間でも意見が分かれており、その是非を判断するのは非常に難しい。
エンドユーザーにパスワードの管理方法を自己責任として放置していることが、パスワード管理の問題をますます深くしていると考えられる。パスワードの管理をエンドユーザーの自己責任にするのは、限界に達していると言っていいだろう。こうした状況に対処するための手段として、ID/パスワード認証の代替策の採用がある。主なものを以下に示す。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
企業のSNS活用実態 最も使われているのはX? Instagram?
企業はSNSをどのように活用しているのか。調査PRサービスを提供するPRIZMAが、最も使われ...
日本のモバイルアプリトレンド2025 クロスデバイス戦略とMMMの重要性とは?
急速に進化するモバイルアプリ市場においてAIと機械学習の活用が本格化し、マーケティン...
中国政府がTikTok売却先としてイーロン・マスク氏に白羽の矢? うわさの真相は……
米国で禁止か売却か――。判断が迫られるTikTokに驚きの選択肢が浮上した。売却先の一つ...