テレワークで危険度が高まる「パスワード認証」 「認証維新」で自社を守ることが経営層の使命に

これまで広く普及してきた「パスワード認証」。しかし、その信頼性がここに来て揺らいでいる。それはパスワードを狙ったサイバー攻撃が多発し、米国政府機関や大手IT企業にまで被害が及んでいるからだ。そこで注目されているのが、脆弱なパスワードのみに依存せず、生体情報なども用いることができるセキュアなMFA(Multi-Factor Authentication:多要素認証)だ。セキュリティーを取り巻く現状と、セキュアなMFAの利用を普及していく必要性について、サイバーセキュリティーで重要となるクラウド型認証サービス(アイデンティティ管理プラットフォーム)を提供するインターナショナルシステムリサーチ(ISR)の代表取締役社長 メンデス・ラウル氏に話を聞いた。

テレワークで危険度が高まる「パスワード認証」 「認証維新」で自社を守ることが経営層の使命に

これまで広く普及してきた「パスワード認証」。しかし、その信頼性がここに来て揺らいでいる。それはパスワードを狙ったサイバー攻撃が多発し、米国政府機関や大手IT企業にまで被害が及んでいるからだ。そこで注目されているのが、脆弱なパスワードのみに依存せず、生体情報なども用いることができるセキュアなMFA(Multi-Factor Authentication:多要素認証)だ。セキュリティーを取り巻く現状と、セキュアなMFAの利用を普及していく必要性について、サイバーセキュリティーで重要となるクラウド型認証サービス(アイデンティティ管理プラットフォーム)を提供するインターナショナルシステムリサーチ(ISR)の代表取締役社長 メンデス・ラウル氏に話を聞いた。

手口がより高度化し、被害規模も拡大するサイバー攻撃

株式会社インターナショナルシステムリサーチ 代表取締役 メンデス・ラウル氏

新型コロナウイルス感染症の拡大に伴い、働く環境の変化や人々の不安を突いたサイバー攻撃の脅威が深刻化している。様々なセキュリティー情報を収集する「一般社団法人 JPCERTコーディネーションセンター」の調査によれば、2020年度の国内外の情報セキュリティーインシデントの報告件数は、2019年度と比べ2倍超に増加したという。テレワークの普及によってITツールへの依存度が高まる中、セキュリティーリスクはこれまでにないほど高まっている。

またコロナ前と比べて、ランサムウエア(身代金要求型ウイルス)を使って企業に身代金を要求するサイバー攻撃も急増しているという。

パスワードのみのセキュリティーがなぜ危険なのか

「欧米では様々なサイバーセキュリティー事件が起きており、その脅威は確実に日本にも迫りつつあります。特に懸念されるのが、情報漏洩やサイバー攻撃を防ぐ手段として、多くの企業が“パスワード認証のみ”を利用していることです。以前は大型コンピューターとユーザー端末がケーブルでつながっていたため、パスワードのみでも認証として十分でした。しかし現在、サーバーとユーザー端末は誰もが接続できる“自由な空間”であるインターネットでつながっているため、パスワード認証だけでは情報を盗まれる可能性がかなり高いです。実際、パスワードを盗まれたことに起因するハッキングが全体の80%に達しており、非常に危険な状況にあります」とメンデス氏は指摘する。

サイバー攻撃事件の多くが、攻撃者に窃取された1つのパスワードから始まっている。“パスワードのみ”のセキュリティーがなぜ危険なのか、メンデス氏は次のように説明する。

「まずパスワードの流出で“なりすまし”が発生します。IDとパスワードさえ知っていれば、誰でも本物のユーザーになりすましてアクセスが可能になるのです。またパスワードは覚えづらいため、どうしても簡単な文字列にしがちです。同じパスワードを使い回したり、メモに書いて貼っておいたりするケースも少なくありません。さらにパスワードはネットワーク上に流れやすいため、ユーザーとサービスの間に犯罪者が入り込み、パスワードを盗み取られるというリスクがあります」

図1 パスワードが抱える課題

図1 パスワードが抱える課題

一般的な認証方法として知られる「パスワード認証」は、様々な問題や危険をはらんでいる。ハッキングの手口が高度化する中、今まで安全だと信じていたパスワード認証に対する評価も時代の流れとともに変えていく必要がある

従来のように社内からのログインであれば、パスワードだけでなくIPアドレスの確認などのアクセス制限も可能であった。しかしコロナ禍以降のテレワーク/リモートワークではパスワード中心の認証となるため、一段と危険性が増している。情報資産を守るため、ログインをVPN経由としている企業もあるが、そこへのログインはパスワードのみで認証するケースが散見され、これでは攻撃者にとっては何ら“障壁”とはなり得ないといえる。

また、現在のコロナ禍における対策とサイバー攻撃へのセキュリティー対策には通じるものがあるとメンデス氏は語る。「新型コロナウイルスは空気中を自由に飛び交うことで感染を拡大させています。しかし人々がマスクを着用することで、感染予防に効果があるとされています。セキュリティー対策においても、インターネット空間を飛び交うウイルスの侵入を防ぐために、マスクのような役割を担う認証、つまりMFAを使用する必要があります。現在主流となっているパスワードのみの認証では、マスクを着用していない状態と同じでウイルスに感染してしまう危険性が高いのです。そのため、マスク着用と同様に予防となるMFAの利用が必要なのです」(メンデス氏)

「認証維新」で日本を守るISR

こうしたサイバー攻撃から日本および日本企業を守るため、明治維新に例えて「認証維新」を掲げているのがISRだ。

「日本における認証をめぐる現状は、幕末の頃の情勢と似ています。海外からもパスワードの脆弱性をついた様々なハッキング攻撃が多発しており、パスワードがなくならない限り、この暗い時代は終わらないと考えています。そこで私たちは、鎖国を続けていた幕末から近代化へと変革した明治維新になぞらえ、パスワード認証時代からパスワードレス認証時代への変革を『認証維新』と名付けました。ISRは“全力でお客様の情報資産を守る”ことを経営理念に掲げています。今はその実現に向け、パスワード幕末時代から認証維新を起こし、パスワードやセキュリティーの問題に対する低い意識に風穴をあけるときだと考えています」(メンデス氏)

龍馬バナー

認証維新に向けたイメージに坂本龍馬を採用。
パスワードやセキュリティーの問題に対する低い意識の改革を目指している

ISRはこれまでも、2014年にFIDO Allianceへの加盟や、2019年に世界初のFIDO2によるクラウド型パスワードレス認証の提供開始など、パスワードレス化に向けて様々な取り組みを行っている。そして2021年、日本と日本企業を守る認証維新に向けてさらなる大きな一歩を踏み出すため、「意識改革」だけではなく「安全なMFAの利用文化を根付かせる」ために2つの取り組みを行っている。まず「意識改革」についてメンデス氏はこう説明する。

「サイバー攻撃の脅威がこれだけ拡大しているにもかかわらず、日本はそれほど危機感を抱いていません。これが最も大きな問題です。そこで私たちは経営者の方々に対し、現在の日本が置かれている状況と、日々巧妙化するサイバー攻撃に対処している欧米の現状についての認知を広めるため積極的に活動を行っています。これまでの事件を振り返っても、もはやパスワード認証のみで情報資産を守れる時代ではなくなったといえます。こうした世の中の趨勢をきちんと伝え、認証に対する意識を変革していただくことが何よりも重要なことなのです」(メンデス氏)

次に「安全なMFAの利用文化を根付かせる」取り組みとして、様々なクラウドサービスに対応した同社の認証サービスである「CloudGate UNO」を導入している企業の管理者に対して、まずはMFAを必須化するための環境整備を支援。そしてパスワードレス認証へと段階的に安全な認証方法を普及させ、世の中にFIDO2対応のパスワードレス認証を定着させていく取り組みを精力的に推進していくという。

「新型コロナウイルス感染症が広がり始めたとき、米国ではマスクを使わなくても大丈夫という話が出ており、文化的にマスク着用に抵抗がない日本と抵抗があった欧米とでは、感染者数の増加スピードに大きな差がありました。現在はその効果や必要性が理解され、欧米でもマスク着用の文化がある程度定着しつつあります。経営者は、コロナ禍においてソーシャルディスタンスや在宅勤務などの措置を取ってきたのと同様に、サイバー攻撃から企業を守るための認証強化としてMFAおよびFIDO2を導入することで認証に対する新たな文化を形成していかなければなりません。お客様の情報を扱っている企業であれば、その情報を守ることは必須であるといえます」(メンデス氏)

在宅勤務が普及している現在、社内で使われているIPアドレス制限が利用できないため、自宅からクラウドサーバーへのアクセスが“パスワードのみ”という非常に弱い認証になっている場合が多く見受けられる。こうした状況を考えると、今後はパスワードだけでなく2つ以上の「要素」によって認証を行うMFAが普及するだろう。

すべてのMFAが安全性を保証するわけではない

「ただし、単純にMFAなら何でもいいというわけではありません。マスクが目の粗さなどで質が異なるように、MFAも利用する認証要素によって様々です」とメンデス氏は釘を刺す。「例えば、パスワードとSMSメッセージやOTP(One Time Password)を合わせたMFAでは、確実に安全だとは言い切れません。現に2016年の米国大統領選におけるクリントン陣営のキャンペーンではSMSでのMFAが突破されています。OTPもパスワード入力画面と同じ画面に入力するため、フィッシング対策としては十分ではありません。安全なMFAの導入のために重要なポイントは3つ。“ユーザーをきちんと特定できるもの・生体認証を使えるかどうか”、“顧客の情報を守ることに対してベンダーがどれだけ責任を持っているか”、“安全にサービス運用されているかどうか”です。例えば、ベンダー自身がどれだけ安全なMFAを利用してサービス運用しているかなどがポイントになります」(メンデス氏)

そこでISRが推奨するのが、指紋認証や顔認証といった生体情報を用いたスマートフォンアプリ(CloudGate Authenticator)、もしくはFIDO2対応の認証器を用いるMFAだ。

FIDO2とは、パスワードレス認証の技術開発と標準化を目的とする業界団体FIDO(Fast IDentity Online)Allianceが2019年にリリースした最新の認証技術である。具体的なログイン方法としては、セキュリティーキーと呼ばれるUSB認証デバイスによる指紋認証またはPINによる認証、パソコンやスマートフォンに内蔵されたFIDO2対応の認証器を用いる顔認証や指紋認証などがある。スマートフォンアプリやFIDO2対応認証器によるパスワードレス認証は大きく2つのステップに分けられる。まずは本人情報の確認をデバイス内で行う。次に認証結果だけが秘密鍵により暗号化された状態でサーバーに送られる。インターネットを通じて送られるのは暗号化された認証結果のみのため、生体情報などの認証要素がネットワーク上に流れることも、サーバー内に保存されることもない。これにより、パスワードや生体情報を窃取する攻撃に対して強い耐性を持つことになり、不正アクセスによる情報漏洩のリスクを大幅に低減することが可能になるのだ。

株式会社インターナショナルシステムリサーチ 代表取締役 メンデス・ラウル氏

経営者自身が認証強化を図るべき時代に

認証維新を推進するためのソリューションとしてISRが提供しているのがCloudGate UNOである。CloudGate UNOは、クラウドサービスへのアクセス制限とシングルサインオンを同時に実現するサービスで、IPアドレス制限や時間別・国別アクセス制限などのセキュリティーポリシーに合わせた柔軟なアクセスコントロールを実現。端末認証や生体認証など、より強固な認証機能で企業や組織のセキュリティーを高めることができる。

図2 CloudGate UNOの概要

図2 CloudGate UNOの概要

FIDO2をサポートしているCloudGate UNOを利用すれば、FIDO2に対応していないクラウドサービスや社内システムに対してもパスワードレスでサインオンすることが可能。クラウド運用に必要なシングルサインオンやアクセス制限等の機能が1つに集約されている

人の記憶に頼る部分が大きかったパスワード認証とは異なり、長く複雑なパスワードを覚える必要もない。まさに「触れるだけ」「見るだけ」の簡単な動作で、複数のクラウドサービスや社内システムにセキュアにログインできるようになる。

「サイバー攻撃から企業を守るためには、経営者がパスワードだけに頼った認証の利用を廃止し、できるだけ早くMFAを導入することが必要です。日本の企業はパスワードだけの認証を長らく利用していたため、このパスワード文化をすぐに変化することは難しいとされていますが、まずは経営者自身が率先してMFA利用の文化を社内に根付かせていくことで変えられると考えています」(メンデス氏)

まだしばらくは新型コロナウイルスの感染対策として在宅勤務措置が続くとみられる。在宅時に使用するパソコンには証明書を発行したり、ログイン時にはパスワードのみではなく安全なMFAを使用したりするなど、日々押し寄せるサイバー攻撃から情報資産や企業の信頼性を守る必要がある。被害拡大を阻止するためにも、経営者は今一度、セキュリティーの在り方を考え直すときに来ている。

お問い合わせ

株式会社インターナショナルシステムリサーチ
お問い合わせはこちら