「アカウントの情報を勝手に書き換えられた上、覚えのない課金の請求書が来た」「ポイントが勝手に使われていた」─IDとパスワードを盗まれ、アカウントを不正に利用されたとする被害者の声がネット上にあふれている。

 消費者向け、企業向けに関わらず、IDとパスワードに頼る認証は、もはや限界に来ている(図1)。

図1●パスワード漏洩や社内からの情報流出が頻発
図1●パスワード漏洩や社内からの情報流出が頻発
従来の認証では、企業も消費者も資産を守れない
[画像のクリックで拡大表示]

 通常、一人が使いこなせるパスワードは、せいぜい3~4個。にもかかわらず、クラウドサービスの利用が加速する中で、それぞれ独立にIDやパスワードを求めるシステムやサービスは年々増え続けている。こうなれば、同一のIDとパスワードの使い回しは避けられない。一つのサービスでパスワードが漏洩すれば、他のサービスでもIDを乗っ取られる。「IDを乗っ取るサイバー攻撃の多くは、別のサイトから漏れたとみられるIDとパスワードを利用している。攻撃のうち数%はログインに成功している」(セキュリティ企業 HASHコンサルティングの徳丸浩代表取締役)。

 認証の“甘さ”は、企業の業務システムも例外ではない。パスワードのずさんな管理による内部犯行が後を絶たない。ひとたび社内のPCにウイルスが侵入すれば、同じドメインのPCに次々と感染を広げ、重要なシステムのIDやパスワードを盗み取ってしまう。「そもそも、インターネット接続は危険だが社内ネットワークは安全、という発想は幻想だ」とラックの西本逸郎取締役は警告する。

 VPN、MDM(モバイルデバイス管理)などの認証システムをつぎはぎした結果、システムの重要度と認証のセキュリティ強度が合わなくなっている点も問題だ。例えば、社外から勤怠管理システムを利用するのにICカード認証を求める一方、機密情報が詰まっているWebメールシステムはインターネットからIDとパスワードでログインできる、という具合だ。