システムのインフラがオンプレミスでも、クラウドサービスであっても、基本的なセキュリティ対策の考え方は変わらない。むしろ攻撃者視点に立てば、基本の徹底こそが有効なセキュリティ対策になる。
セキュリティ対策を考える上では、システムが稼働するインフラがクラウドサービスか、オンプレミスかといったことではなく「変化のさなかにあるかどうか」が重要だということは、本連載のこれまでの記事でお伝えしてきた通りだ。「システムの変化時に生じやすい脆弱(ぜいじゃく)性を狙う」という攻撃者の行動原則が変化しない限り、インフラの構成要素がいくら変わろうとも、セキュリティ対策の基本的な考え方は変わらない。
日立ソリューションズでホワイトハッカーとして活動する米光一也氏は、基本的なセキュリティ対策を徹底することで、攻撃者のやる気をなくさせる効果があると強調する。それはどういうことなのか。
例えば攻撃者が侵入の足掛かりを探す段階で社内LANを調べたとする。このときファイアウォールが、外部関係者とのデータ送受信用サーバが開放しているポートへのアクセスなど、必要最低限のデータ伝送のみ許可している状態はセキュアだと言える。「こうした状態は攻撃者に『きちんと対策しているな』と思わせることができ、攻撃者のやる気をなくすことができる」と米光氏は説明する。逆に「アカウントのIDとパスワードが同じ」「アカウントのパスワードがエンドユーザーの名字に適当な数字を付けたもの」といったおざなりな状態は、攻撃者をやる気にさせるという。
攻撃者が狙い目にするという、「脆弱(ぜいじゃく)なパスワード」をエンドユーザーが設定していないかどうかにも注意すべきだ。「『password』というパスワード」「『asdfgh』のようにキーボードに並んだ文字をそのまま打ち込んだパスワード」などがそれに当たる。パスワードの使い回しもアカウント侵害のリスクを高める一因になる。
エンドユーザーによるパスワード設定に対して「特定の文字列の利用を禁止する」「英字、数字、記号の3種類を必ず利用する」「異なるアカウントで同一パスワードを設定できないようにする」といったポリシーを設けることで、これらの行為を抑制することが可能だ。エンドユーザー1人が利用する複数アプリケーションのアカウントを一元管理する「統合ID管理」製品や、1回のログインで複数アプリケーション・サービスへのログインを可能にする「シングルサインオン」(SSO)製品には、そうしたポリシーに準じたパスワード設定をエンドユーザーに強制できる機能を持つものもある。
攻撃者は記号や数字などさまざまな文字を含む、複雑で文字数の長いパスワードを嫌悪する傾向がある。総当たり攻撃の試行回数を増やさなければならないためだ。一方で過度に複雑で長いパスワードを設定してしまうと、エンドユーザーが思い出せなくなったり、付箋にパスワードを書いて机上に貼ってしまったりといった高リスクの行為につながりやすい。従って「『複雑で覚えにくいが、短いパスワード』よりも、『適度に複雑で覚えやすい、長いパスワード』の方が望ましい」と米光氏は述べる。例として「6ryt5(uQ」のようなランダムな8文字よりも、「DogNekoBirdHorse」のような英単語や日本語のローマ字表記を組み合わせた16文字の方が好ましい。記号や数字などの異なる文字種を組み合わせるとさらに強力なパスワードになる。
企業ITのトレンドは今後も移り変わり続けるだろう。それに合わせてさまざまな製品・サービスを導入する際に、「移行段階だからといってセキュリティを緩める」のではなく、「移行段階だからこそセキュリティを強化する」という意識は不可欠だ。移行が終わった後もセキュリティ対策を継続することで、どの段階においても脆弱な「壁の低い部分」を作らないことを心掛けたい。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「猛暑」「米騒動」「インバウンド」の影響は? 2024年に最も売り上げが伸びたものランキング
小売店の推定販売金額の伸びから、日用消費財の中で何が売れたのかを振り返るランキング...
Netflixコラボが止まらない 「イカゲーム」シーズン2公開で人気爆上がり必至のアプリとは?
Duolingoは言語学習アプリとNetflixの大人気ドラマを結び付けたキャンペーンを展開。屋外...
Yahoo!広告における脱デモグラフィックの配信・分析を実現 電通が「DESIRE Targeting」を提供開始
電通の消費者研究プロジェクトチームは、消費者を理解し、Yahoo!広告の配信や分析を実施...