「パスワード」どころか「多要素認証」(MFA)さえ“万全な保護策”ではない:ユーザー認証のリスクと安全対策【前編】
不正アクセスを防ぐために、ユーザーの認証をより安全にすることが欠かせない。従来の認証方法には、幾つかの弱点がある。主要な4つの認証手法について、何がリスクになるのかをまとめる。
IDおよびアクセス管理(IAM)ツールは、生体認証(バイオメトリクス認証)の技術を取り入れることによって進化を遂げている。生体認証はユーザーにとっての使いやすさだけではなく、セキュリティの向上にもつながる。従来の認証の仕組みではなぜ危ないのか。パスワードをはじめとした従来の“4つ認証方法”の特徴とリスクを整理しておく。
パスワードもMFAも危ない? 主要な認証方法4つの弱点
併せて読みたいお薦め記事
そもそも「IAM」とは何か
まずはIAMツールの現状から確認しよう。従来のIAMツールは主に以下の認証手法を採用している。
- パスワード
- パスワードは長年にわたり、不正アクセスを防止する主要な手段だった。ユーザーアカウントはもちろん、共有ファイルやネットワークへのアクセスも制御する。
- 多要素認証(MFA)
- MFA技術は、パスワードによる認証よりも高い安全性を確保するための認証手法だ。ログインしたいユーザーに対し、本人かどうかの確認情報として複数の要素を求める。例えば、ユーザーのスマートフォンにワンタイムパスワード(OTP)を送信し、ログインの際に入力させる。
- IDカード
- 従業員や訪問者にIDカードを提供し、建物やオフィスへの物理的なアクセスを許可する。
- 非接触型カード
- 非接触型カードにチップを内蔵し、無線周波数(RF:Radio Frequency)技術を使ってデータを保存したり転送したりする。この技術はデビットカードやクレジットカードでも使われているので、なじみがある人も少なくないだろう。
上記4つの認証手法のセキュリティ的な弱点は以下の通り。
パスワード
パスワードはユーザーの不注意やフィッシングメールなどによって攻撃者に流出する恐れがあるため、脆弱(ぜいじゃく)な認証手法だと考えられる。特に危険なのは、複数のユーザーがパスワードを共有することだ。パスワードの流出はシステムへの不正アクセスや、データの窃盗と悪用を招く可能性がある。組織は日頃のしっかりしたパスワード管理に加え、従業員が退職した際にはその従業員のパスワードをすぐに無効化するといった対処をする必要がある。
MFA
MFAはパスワードによる認証よりもセキュリティを強固にすることができる。ただしユーザーはMFAの利用に当たり、スマートフォンにMFA用のソフトウェアをインストールしたり、ログインの度に必要な手順を踏んだりしなければならない。そのため、MFAを「面倒だ」と感じるユーザーもいるだろう。
他にもMFAではワンタイムパスワードを受け取るために、ネットワークに接続する必要がある。何らかの問題でネットワークが使えなければ、ユーザーはシステムにアクセスできなくなる。
IDカード
IDカードでは複数の従業員が共有したり、貸し借りをしたりできる点がリスクになる。IDカードを不正な行為に悪用されてしまう可能性があるからだ。IDカードの盗難や置き忘れもリスクになる。IDカードは、攻撃者に偽造されかねない点においても注意が必要だ。
非接触型カード
非接触型カードはIDカードと同様、盗難や置き忘れ、偽造などのリスクがある。非接触型カードは普及につれて攻撃者に狙われるようになり、近年はこれを介したセキュリティインシデントが広がっている。非接触型カードはコストも課題だ。利用に当たり、カードリーダーやソフトウェア、運用管理の費用が発生する。
後編は、本稿で取り上げたリスクを踏まえ、生体認証がIAMをどのように“より安全”にできるのかを考える。
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.