「パスワード」どころか「多要素認証」(MFA)さえ“万全な保護策”ではないユーザー認証のリスクと安全対策【前編】

不正アクセスを防ぐために、ユーザーの認証をより安全にすることが欠かせない。従来の認証方法には、幾つかの弱点がある。主要な4つの認証手法について、何がリスクになるのかをまとめる。

2024年04月25日 07時00分 公開
[Isla SibandaTechTarget]

 IDおよびアクセス管理(IAM)ツールは、生体認証(バイオメトリクス認証)の技術を取り入れることによって進化を遂げている。生体認証はユーザーにとっての使いやすさだけではなく、セキュリティの向上にもつながる。従来の認証の仕組みではなぜ危ないのか。パスワードをはじめとした従来の“4つ認証方法”の特徴とリスクを整理しておく。

パスワードもMFAも危ない? 主要な認証方法4つの弱点

 まずはIAMツールの現状から確認しよう。従来のIAMツールは主に以下の認証手法を採用している。

  • パスワード
    • パスワードは長年にわたり、不正アクセスを防止する主要な手段だった。ユーザーアカウントはもちろん、共有ファイルやネットワークへのアクセスも制御する。
  • 多要素認証(MFA)
    • MFA技術は、パスワードによる認証よりも高い安全性を確保するための認証手法だ。ログインしたいユーザーに対し、本人かどうかの確認情報として複数の要素を求める。例えば、ユーザーのスマートフォンにワンタイムパスワード(OTP)を送信し、ログインの際に入力させる。
  • IDカード
    • 従業員や訪問者にIDカードを提供し、建物やオフィスへの物理的なアクセスを許可する。
  • 非接触型カード
    • 非接触型カードにチップを内蔵し、無線周波数(RF:Radio Frequency)技術を使ってデータを保存したり転送したりする。この技術はデビットカードやクレジットカードでも使われているので、なじみがある人も少なくないだろう。

 上記4つの認証手法のセキュリティ的な弱点は以下の通り。

パスワード

 パスワードはユーザーの不注意やフィッシングメールなどによって攻撃者に流出する恐れがあるため、脆弱(ぜいじゃく)な認証手法だと考えられる。特に危険なのは、複数のユーザーがパスワードを共有することだ。パスワードの流出はシステムへの不正アクセスや、データの窃盗と悪用を招く可能性がある。組織は日頃のしっかりしたパスワード管理に加え、従業員が退職した際にはその従業員のパスワードをすぐに無効化するといった対処をする必要がある。

MFA

 MFAはパスワードによる認証よりもセキュリティを強固にすることができる。ただしユーザーはMFAの利用に当たり、スマートフォンにMFA用のソフトウェアをインストールしたり、ログインの度に必要な手順を踏んだりしなければならない。そのため、MFAを「面倒だ」と感じるユーザーもいるだろう。

 他にもMFAではワンタイムパスワードを受け取るために、ネットワークに接続する必要がある。何らかの問題でネットワークが使えなければ、ユーザーはシステムにアクセスできなくなる。

IDカード

 IDカードでは複数の従業員が共有したり、貸し借りをしたりできる点がリスクになる。IDカードを不正な行為に悪用されてしまう可能性があるからだ。IDカードの盗難や置き忘れもリスクになる。IDカードは、攻撃者に偽造されかねない点においても注意が必要だ。

非接触型カード

 非接触型カードはIDカードと同様、盗難や置き忘れ、偽造などのリスクがある。非接触型カードは普及につれて攻撃者に狙われるようになり、近年はこれを介したセキュリティインシデントが広がっている。非接触型カードはコストも課題だ。利用に当たり、カードリーダーやソフトウェア、運用管理の費用が発生する。


 後編は、本稿で取り上げたリスクを踏まえ、生体認証がIAMをどのように“より安全”にできるのかを考える。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news023.jpg

「広告のムダ打ち」はなぜなくならない? アドフラウド以外に考慮すべき3つの視点
「アドフラウド」以外に、広告が届けたい相手にきちんと届くようにするために留意すべき...

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2024年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news129.jpg

SNSアカウントのビジネス貢献を明らかにするための調査サービス テテマーチが提供
フォロワーの属性や状態を明確に把握し、彼らの態度や行動を変容させるためにSNSがどう寄...