ユーザーID/パスワードにまつわるセキュリティリスクは、企業のシステム管理者にとって悩ましい問題である。警察庁のデータによると、2009年に認知された不正アクセスの9割以上は「識別符号窃用型」つまりパスワード破りによるもの。最近ではウイルスを使ってユーザーID/パスワードを盗み取る攻撃も横行している。代表例がGumblar(ガンブラー)攻撃だ。
こうしたリスクは、クラウドサービスやモバイルといった、多くの企業ユーザーが興味を抱くシステムを導入すると、ますます大きくなる。クラウドやモバイルを利用する場合、ユーザーID/パスワードが、インターネットという開かれたネットワークに流れてしまうためである。
業務アプリケーションやWebメールといったクラウドサービスのID/パスワードが盗まれれば、企業の機密情報も危険にさらされる。モバイル用のアカウントを盗まれた場合は、容易に社内ネットワークへの侵入を許してしまう。そこで重要なのが、パスワードを破られない、あるいは破られても困らない認証の仕組みだ。
継続的な運用が可能な対策を打つ
強固なユーザー認証を実現するには、運用面にも目を向ける必要がある。社内などからIDが漏れるケースもあるからだ。
大抵のユーザーは、一人で複数のアカウントを持ち、システムやサービスごとにID/パスワードを使い分けている。日経コミュニケーションのモニターアンケート調査によると、42.8%はシステムによって異なる複数のルールでID/パスワードを運用している(図1-1)。
こうなると、パスワードを覚えきれずに「パソコンの周りに付せん紙を張ったりして、パスワードを人目にさらしてしまうユーザーが出てくる」(モニターアンケートに寄せられた複数企業のコメント)。セキュリティを強化する目的で、長く破られにくいパスワードを設定する、パスワードの頻繁な変更を義務付けるといったポリシーを設けるケースがあるが、これがかえって甘いパスワード運用を招くこともある。
さらに管理者側でも、ID/パスワードの変更やサポートに時間がかかってしまう。「従業員の異動・退職に伴って必要になるIDの無効化を徹底できていないために、アカウントを不正に使われることが多い」(ラック セキュリティ事業部 営業統括部 プロジェクトマネジメント部の内田昌宏担当部長)という。
実際、アンケートでも、過去にID/パスワードが流出し、不正利用されたという回答が6件あった。内訳をみると、ID/パスワード管理が不十分なために不正利用が起こったケースが多い。
今のままでは、安心して新しい技術やサービスを導入できない。そこでこの特集では、既存システムがあることを踏まえつつ、そのうえで導入できる、現実的な範囲で最強のユーザー認証の仕組みを探る。ポイントは、ユーザーがきちんと運用し続けられるルール/ポリシー作りと、複数の要素を重ね合わせた強度の高い認証システムを導入することである。
まずはすべての企業に当てはまる既存システムの強化、続いて使い勝手を重視した外部サービスの活用について考える。最後に社内のID統合や外部システムとの連携といった、今後必要になる取り組みについて解説する。
