検索
特集/連載

だからパスワードは駄目 防御の最前線が「ID」である理由セキュリティはID管理の時代へ【前編】

サイバー攻撃が巧妙化する中、攻撃者はアカウント登録やパスワードリセットといった防御が甘い「裏口」を狙っている。こうしたリスクを生まないためには、なぜID管理が重要なのか。

Share
Tweet
LINE
Hatena

関連キーワード

人工知能 | ID管理 | セキュリティ


 企業のIT資産を強固なデジタル要塞(ようさい)を築くという古いセキュリティの考え方は、もはや通用しなくなった。クラウドサービスやテレワークが普及した現代において、防御可能なネットワーク境界という概念自体が意味を成さなくなっている。

 それに代わって現れたのが、IDを境界にするという考え方だ。従来ファイアウォールが守ってきたネットワーク境界ではなく、アクセスを試みる全てのエンドユーザー、デバイス、アプリケーションが信頼できるかどうか、IDを見極めることが防御策になる。いまやIDはサイバーセキュリティにおける防御の要だと言える。

 英Computer Weeklyのインタビューにおいて、IDセキュリティベンダーPing IdentityのCEOであるアンドレ・デュランド氏が、単純なパスワードから高度な検証技術への進化、データ侵害の影響を軽減する「分散型ID」の可能性、IDと人工知能(AI)技術の関係について語る。

「IDは新たな境界である」の真意

―― まず、「IDは新たな境界である」とは、どのような意味なのでしょうか。

デュランド氏 攻撃者は暗号技術そのものを破るのではなく、IDを侵害する。ほとんどの攻撃は、ID管理の不備に起因する。攻撃者は所有者との結び付きが弱いパスワードや秘密情報を盗み出し。悪用する。

 われわれのようなセキュリティベンダーは、これまでID管理における認証の強化に注力してきた。その結果、ログイン時の認証は強固な「正面玄関」になったが、攻撃者は代わりにアカウントの新規登録やコールセンターといった「裏口」や「勝手口」の弱点を見つけ出している。

 サイバー攻撃集団「Scattered Spider」の手口は、従業員になりすましてITヘルプデスクやコールセンターの担当者をだますというものだ。こうした手口に見られるように、2025年現在、ユーザー登録プロセスとコールセンターが主な弱点となっている。パスワードリセットなどのアカウント復旧において、最新の本人確認手法が導入されていない部分が悪用されている。IDセキュリティ管理における最も脆弱な部分が攻撃の標的になる。

 ユーザー登録やアカウント復旧における2025年時点の最新技術は、生体認証と、運転免許証やパスポートといった政府発行の物理的な身分証明書の検証を組み合わせたものだ。なりすましや偽造文書の可能性があるため、この手法は完璧ではない。しかし、パスワードを盗むよりは難しく、データ侵害によって個人情報が流出し、「秘密の質問」のような知識ベース認証が役に立たなくなった現状を考えれば、より安全だ。

 そのため、IDセキュリティ業界では物理的な証明書を用いた本人確認サービスへの移行が急速に進んでおり、Ping Identityも本人確認サービスを提供している。これにデバイス固有の情報やSIMカード、メールアドレスや電話番号の利用期間といったさまざまな情報を多角的に分析してリスクを判断する。攻撃者はこれらの情報を一度に偽装することは極めて難しいため、ID不正利用の難易度は格段に高くなる。

 2025年時点の最先端は物理的な文書による本人確認だが、いずれはデジタルクレデンシャル(認証情報)による検証に取って代わられるだろう。模倣元になる物理的な文書が存在しなくなるため、なりすましの難易度はさらに高まるはずだ。

―― その仕組みが実現すると、企業は本人確認に使ったデータを保持する必要がなくなり、データ侵害の影響を軽減できるのでしょうか。

デュランド氏 その通りだ。われわれが分散型IDと呼ぶ新しい技術や標準は、検証可能なデジタルクレデンシャルを格納したデジタルウォレット(電子決済用ソフトウェア)という概念が中心にある。これらは全て、性質が異なる身分証明の形式だ。本名や住所の証明、特定の企業の従業員であることの証明、あるいは特定の銀行口座の保有証明など、性質の異なるさまざまな身分証明として機能する。

 分散型IDは、現状の仕組みを一変させる。企業が、自社の従業員であることを示すデジタルクレデンシャルを発行できるようになるからだ。従業員は本人確認が必要になった際に、そのデジタルクレデンシャルを提示すればよい。リアルタイムで本人かどうかを検証でき、検証する側の組織はクレデンシャル自体を保存する必要がない。攻撃者にとって格好の標的になり得る情報を保管することなく、その正当性を確認できるようになる。

―― これまでは、さまざまなシステムにわたって厳格なID管理を徹底するのは、それほど難しかったのでしょうか。

デュランド氏 本質的に難しい課題だった。大半の企業のインフラはハイブリッドであり、資産やデータの一部はクラウドサービスに、一部はオンプレミスシステムにある。これら全てを、適切に設計された単一のID管理システムに接続することは容易ではない。このID管理システムは、認証、ID管理、ガバナンス、特権アクセスといった全ての用途を網羅し、変化し続ける脅威に素早く適応できなければならない。

 あらゆるシステムを網羅する最新鋭のID管理システムを構築することは、極めて重要かつ困難な取り組みであり、IDセキュリティ業界、ひいては社会にとっての挑戦だと言える。

 次回は、ID管理とAI技術の関係性の変化を探る。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る