パスワードを用いる認証手法そのものが脆弱であり、パスワードの複雑性を高めたりパスワード管理機構を追加したりしても本質的な解決には至らない。FIDOは一つの解答だが、それだけでは理想に少し足りない。
パスワードの起源は、古代ローマの衛兵が夜間警備に使ったものだ。現在ではこれがデジタルセキュリティの基盤の一つになった。
剣闘士たちの時代から、パスワードを使う規則はほとんど変わっていない。もちろん、推奨事項の一部や技術基盤は大きく変わった。
第四次産業革命を完全に受け入れるため、「カエサルのものはカエサルに」返し、現代に即した認証ソリューションを導入する時期に来ている(訳注)。
訳注:新約聖書『マタイによる福音書』などに書かれているイエスの言葉。このカエサルは終身独裁官ガイウス・ユリウス・カエサルのことではなく「皇帝」を指し、「皇帝のものは皇帝に、神のものは神に返しなさい」と訳される。
オンラインサービスの急増に伴い、私用や仕事用に個人が所持するアカウントが大きく増加している。2017年に行われた調査によると従業員1人当たり191のアカウントを利用しているという。
その結果、複数アカウントでパスワードを使い回したり、推測しやすいパスワードを作成したりするなどの悪習が定着している。従業員の半数がAmazonや「Gmail」に同じパスワードを使用する中、IT管理者は企業ネットワークへのアクセスをどのようにすれば適切に保護できるだろう。
これは難しい問題だ。パスワードの規則を厳しくし、異なる文字種の使用を強制して複雑さを高めることでユーザーに責任を押し付けても解決しない。2016年にパスワードを侵害された被害者の約5人に1人が「123456」というパスワードを使用していた。
仮にユーザーが規則に従ったとしても、ユーザーのデータを管理する企業が規則に従わないかもしれない。その企業も、自身ではコントロールできない技術的な脆弱(ぜいじゃく)性にさらされる。
資格情報の急増に応えて、プロキシ認証サービスや「Password Safe」(訳注)の提供を始めた企業もある。だが、これらは単一障害点につながる。
訳注:複数のIDとパスワードをまとめて管理するソフトウェア。
Password Safeはソフトウェアなので、それ自体に脆弱性が存在する恐れがある。Password Safeのマスターパスワードが侵害されれば、保存されている全ての資格情報へのアクセスが可能になる。プロキシ認証サービスについては、こうしたサービスを実践した結果の例としてFacebookに被害を与えた最近のデータ侵害がある。
デジタルセキュリティベンダーのGemaltoは、2018年上半期に推定45億件以上の個人データが流出したとしている。つまり、1秒当たりおよそ300件のデータが流出していることになる。
このような状況でも、安全に認証を行うことは可能なのだろうか。
要するに、ユーザーは非常に多くのパスワードを管理するのに苦戦している。一方、パスワードが日常的にデータセンターから流出している。
ユーザーに啓蒙(けいもう)活動を行えばパスワードの健全性は向上する。Password Safeは複雑なパスワードを生み出す機能によって初期対応を提供するが、マスターパスワードに依存する。Password Safeの周知には限界があり、専門家以外にはあまり知られていないという課題もある。
傍受やパスワード流出のリスクを回避するソリューションの一つが、ユーザー側で行う認証だ。この考え方を中心に結成された企業団体がFIDO Allianceだ。現状では、15億人以上のユーザーがパスワードを送信することなく認証を受けている。この認証方式は、ユーザーが所有する物理端末が認証プロセスを管理し、このユーザーが本人であることを互換性のあるオンラインサービスに示す。
FIDO Allianceは、一つ一つのパスワードを記憶する必要性をなくすソリューションを提供する。ただし、大半の実装はPINを利用する。クレジットカードの場合、可能性は低いとしても、PINが盗まれる恐れはある。
では、何も記憶しなくても認証が可能な将来を思い描くことはできるだろうか。パスワードなしでも生活していけるだろうか。
現在でも、パスワードの類いの情報を記憶しなくても生活することはできる。これを効率的かつ安全に行うには、現代のセキュリティの根本原則である多層防御を導入する必要がある。
17世紀にフランスの軍人ボーバン(訳注)が考案したこの原理は、石の城、原子力発電所、コンピュータネットワークを保護してきた。認証については、次の3つの要素を利用すればこの原理を導入できる。
訳注:セバスティアン・ル・プレストル・ド・ボーバン(1633-1707)。技術将校、建築家としてルイ14世に仕え多数の要塞(ようさい)を築く一方、多数の要塞包囲戦を指揮した要塞攻略の名手。当社表記ルール上「ヴ」を用いないが、日本では「ヴォーバン」と表記するのが一般的。
現在では、この3つの異なるタイプから少なくとも2つのタイプの要素を用いる認証は安全で一般的に利用できると考えられている。パスワードとSMSから送信される一時コードを組み合わせるのが、恐らく最もよく知られている例だ。
このメカニズムを回避するのが簡単でないことは確かだが、各要素が安全であることも不可欠だ。スマートフォンではスプーフィングが行われる可能性があるため、SMSから送信されるコードは安全とはいえない。前述のような不適切なパスワードも安全ではない。
タイプ3の要素を追加することでソリューションが成立する。これは実際に、高度に安全だが一般ユーザーにとっては非常に扱いにくい。
では、セキュリティを損なうことなくパスワードなしで認証を行うことは可能だろうか。
タイプ2とタイプ3の要素を組み合わせることで、記憶しなくてもよい認証ソリューションが可能になる。
このようなソリューションの組み合わせの例が、FIDO対応のデジタルキーと組み込み型の生体認証センサーだ。こうした機器はようやく市場に出回り始めたところだ。そのためソリューションが存在するとしても、すぐには普及しないだろう。
セキュリティは、脅威と並行して進化するプロセスだ。パスワードはデジタルセキュリティにとって不可欠であることから非常に重要な資産であり、攻撃側は必死になって盗み出そうとする。今後、パスワードの代わりに生体認証ソリューションが使われるかもしれない。ただ、生体認証も完全に安全とはいえない。
新しい認証プロトコルは新たなジレンマをもたらすだろう。自分の指紋が誰でも使えるようになったら、どうすればよいだろう。
今後も、新たな認証ソリューションが登場しては破られることになるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。
セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。
年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。
従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。
2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
