教育機関がIT活用を安全に進めるために重要な役割を果たす認証。管理の煩雑さが危険な運用につながりかねないID/パスワード認証に代わる、教育現場にとって現実的な認証手段を考える。
皆さんは、8文字以上の大文字と小文字、数字、記号を組み合わせたパスワードを幾つ覚えられるだろうか。複雑で強固なパスワードであればあるほど、覚えられる数は減ってしまうだろう。
ID/パスワード認証は、情報システムの認証手段として古くから幅広く利用されてきた。クラウドサービスやモバイルデバイスの普及でITがより身近な存在となる中、エンドユーザーが覚えなければならないパスワードの数は膨大になっている。教育関係者や学習者を含め、一般の人が数十〜数百種類のWebサイトやWebアプリケーションなどのサービスを利用することが、珍しくなくなったからだ。
サービスごとに個別かつ複雑なパスワードを設定すればよいのだが、それが非常に難しい。最初は覚えていても、利用するサービスが増えて覚えるべきパスワードが増えるほど、覚えておくのがより大変になる。それぞれのパスワードを複雑にすると管理が難しくなるために、覚えやすさから安易なパスワードを設定してしまうエンドユーザーは少なくない。
特定のサービスに複雑なパスワードを設定したとしても、さまざまなサービスでそのパスワードを使い回してしまえば、どこかのサービスからそれが漏えいしてしまった場合に認証が破られてしまう。ソーシャルネットワーキングサービス(SNS)や情報サイトなど全てのサービスに複雑なパスワードを設定し、それを覚えておくには、“超能力”に近い特殊能力が必要になってくる。
「パスワードの定期更新」という運用も、パスワード管理の難しさに拍車を掛ける。定期的にパスワードを更新すれば、第三者がID/パスワードを窃取した場合にも認証を破られる可能性が低くなる、という考え方に基づく運用だ。本来はセキュリティ対策の効果を高めるための運用なのだが、更新のたびに新たなパスワードが生まれることから、管理しなければならないパスワードをさらに増やす状況を生んでしまっている。
ID/パスワードの漏えいが発生したり、その懸念があったりした場合には、当然ながら必ずパスワードを変更しなければならない。仮に漏えいしていても、パスワードを変更して漏えいしたパスワードを無効化すれば、不正ログインといった実害を防ぐことができるからだ。ただし定期更新は、前述の弊害があることに加え、効果についてはセキュリティの専門家の間でも意見が分かれており、その是非を判断するのは非常に難しい。
エンドユーザーにパスワードの管理方法を自己責任として放置していることが、パスワード管理の問題をますます深くしていると考えられる。パスワードの管理をエンドユーザーの自己責任にするのは、限界に達していると言っていいだろう。こうした状況に対処するための手段として、ID/パスワード認証の代替策の採用がある。主なものを以下に示す。
狙うは「銀髪経済」 中国でアクティブシニア事業を展開する企業とマイクロアドが合弁会社を設立
マイクロアドは中国の上海東犁と合弁会社を設立。中国ビジネスの拡大を狙う日本企業のプ...
社会人1年目と2年目の意識調査2024 「出世したいと思わない」社会人1年生は44%、2年生は53%
ソニー生命保険が毎年実施している「社会人1年目と2年目の意識調査」の2024年版の結果です。
KARTEに欲しい機能をAIの支援の下で開発 プレイドが「KARTE Craft」の一般提供を開始
サーバレスでKARTEに欲しい機能を、AIの支援の下で開発できる。