パスワードはもう十分な役割を果たしていない PART1:Column
ビル・ゲイツ氏もパスワードは役目を終えると予測しているが、ではそれに代わるシステムとして、何を選択すればいいだろうか? 2回に分けてお届けする。
アヤーズ・ジャンモハメッド氏とマシュー・トッド氏は、非常に異なる環境でIT業務の管理を行っているが、両氏が抱えるアイデンティティ(ID)/アクセス管理の課題は、決して異なるものではない。
カナダのアルバータ州エドモントン市警察のITインフラマネジャーを務めるジャンモハメッド氏は、オンライン犯罪者が、電子的に保存された容疑者や被害者、警察官の情報にアクセスし、彼らの安全が脅かされることを危惧している。また、米フィナンシャルエンジンズのCISO兼リスク/技術業務担当副社長を務めるトッド氏は、何者かが不正アクセスによって投資家の機密の財務データを盗み出し、個人情報詐欺などの犯罪に悪用することを危惧している。
両氏はこれらの事態を防ぐため、多大な時間と費用、労力を注いできた。そうする中で両氏は、パスワードはトラブルの元にしかならないと考えるに至っている。
「人々は情報を早く手に入れようとするあまり、パスワードを付箋にメモしたり、数人が同じマシン上で共通のパスワードを使おうとしたりする。これでは責任の取りようがない」とジャンモハメッド氏。また、多くの企業は従業員に対し、攻撃者に簡単にクラッキングされてしまうような単純なパスワードを選ぶことを許しており、従業員がさまざまなアプリケーションにアクセスするのに多くのパスワードを使わなければならない場合には、問題はさらに深刻化する。
ジャンモハメッド氏やトッド氏だけではない。TechTargetが4月に実施したID/アクセス管理に関する調査では、回答したIT担当者358人の過半数が、パスワードは時代遅れであり、2要素認証やシングルサインオンなど、より強力な認証方法を代わりに採用したいと答えている。
また回答者は、従来のパスワードをトークンやスマートカードのようなツールで代替しようと考えている。
「パスワードを減らすためにできる対策はどんなものでも、人的な影響を軽減するのに役立つ」とトッド氏。「パスワードが少なければ少ないほど、問題が起きにくくなる」
調査に見るパスワードの問題点
Copyright © ITmedia, Inc. All Rights Reserved.