「パスワード」どころか「多要素認証」（MFA）さえ“万全な保護策”ではない：ユーザー認証のリスクと安全対策【前編】

不正アクセスを防ぐために、ユーザーの認証をより安全にすることが欠かせない。従来の認証方法には、幾つかの弱点がある。主要な4つの認証手法について、何がリスクになるのかをまとめる。

[Isla Sibanda，TechTarget]

　IDおよびアクセス管理（IAM）ツールは、生体認証（バイオメトリクス認証）の技術を取り入れることによって進化を遂げている。生体認証はユーザーにとっての使いやすさだけではなく、セキュリティの向上にもつながる。従来の認証の仕組みではなぜ危ないのか。パスワードをはじめとした従来の“4つ認証方法”の特徴とリスクを整理しておく。

パスワードもMFAも危ない？　主要な認証方法4つの弱点

併せて読みたいお薦め記事

そもそも「IAM」とは何か

• いまさら聞けない「IAM」が「クラウド利用」に欠かせない理由
• AWS IAM、Amazon Cognito、AWS Directory Serviceとは？　AWSの主要クラウドIAM

　まずはIAMツールの現状から確認しよう。従来のIAMツールは主に以下の認証手法を採用している。

• パスワード
  • パスワードは長年にわたり、不正アクセスを防止する主要な手段だった。ユーザーアカウントはもちろん、共有ファイルやネットワークへのアクセスも制御する。
• 多要素認証（MFA）
  • MFA技術は、パスワードによる認証よりも高い安全性を確保するための認証手法だ。ログインしたいユーザーに対し、本人かどうかの確認情報として複数の要素を求める。例えば、ユーザーのスマートフォンにワンタイムパスワード（OTP）を送信し、ログインの際に入力させる。
• IDカード
  • 従業員や訪問者にIDカードを提供し、建物やオフィスへの物理的なアクセスを許可する。
• 非接触型カード
  • 非接触型カードにチップを内蔵し、無線周波数（RF：Radio Frequency）技術を使ってデータを保存したり転送したりする。この技術はデビットカードやクレジットカードでも使われているので、なじみがある人も少なくないだろう。

　上記4つの認証手法のセキュリティ的な弱点は以下の通り。

パスワード

　パスワードはユーザーの不注意やフィッシングメールなどによって攻撃者に流出する恐れがあるため、脆弱（ぜいじゃく）な認証手法だと考えられる。特に危険なのは、複数のユーザーがパスワードを共有することだ。パスワードの流出はシステムへの不正アクセスや、データの窃盗と悪用を招く可能性がある。組織は日頃のしっかりしたパスワード管理に加え、従業員が退職した際にはその従業員のパスワードをすぐに無効化するといった対処をする必要がある。

MFA

　MFAはパスワードによる認証よりもセキュリティを強固にすることができる。ただしユーザーはMFAの利用に当たり、スマートフォンにMFA用のソフトウェアをインストールしたり、ログインの度に必要な手順を踏んだりしなければならない。そのため、MFAを「面倒だ」と感じるユーザーもいるだろう。

　他にもMFAではワンタイムパスワードを受け取るために、ネットワークに接続する必要がある。何らかの問題でネットワークが使えなければ、ユーザーはシステムにアクセスできなくなる。

IDカード

　IDカードでは複数の従業員が共有したり、貸し借りをしたりできる点がリスクになる。IDカードを不正な行為に悪用されてしまう可能性があるからだ。IDカードの盗難や置き忘れもリスクになる。IDカードは、攻撃者に偽造されかねない点においても注意が必要だ。

非接触型カード

　非接触型カードはIDカードと同様、盗難や置き忘れ、偽造などのリスクがある。非接触型カードは普及につれて攻撃者に狙われるようになり、近年はこれを介したセキュリティインシデントが広がっている。非接触型カードはコストも課題だ。利用に当たり、カードリーダーやソフトウェア、運用管理の費用が発生する。

---

　後編は、本稿で取り上げたリスクを踏まえ、生体認証がIAMをどのように“より安全”にできるのかを考える。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。