Special
» 2015年01月30日 10時00分 UPDATE

パスワード認証のリスクと課題を考える:PCセキュリティ対策の“危険”な現状

企業は情報セキュリティ対策をより真剣に取り組む必要がある。ただ、ユーザーに最も身近な「クライアントPCそのものの対策」を軽視していないだろうか。脅威のリスクが高まっている「リスト攻撃」と「パスワード管理」の現状とともに、情シス担当者が今すぐ考えてほしい「クライアントPCセキュリティ対策」と「今後選択すべきPCは何か」を導こう。

[PR/ITmedia]
PR

 会社の存続に関わる情報漏えい事件が多発している。企業はその対策に真剣に取り組む必要があり、情シス担当者はその対策にどう取り組むかが急務となっている。もちろん、ネットワークやアプリケーションなど大枠のセキュリティ対策はすでにやっていることだろう。

 ITmediaエンタープライズと富士通は、改めて「クライアントPCとパスワード管理」について調査を実施。情シスが自社で懸念しているセキュリティ課題を聞いたところ、やはり「内部関係者による情報の持ち出し(62.2%)」「情報端末の紛失/盗難(66%)」など、想定通りのセキュリティ課題を持っていることが分かった。

photo 勤務先で懸念されているセキュリティ課題

情シスの課題:セキュリティも、コストも、利便性も……板挟みの現状

 一方、業務用クライアントPC導入時に重視する点を聞くと、72.4%が「価格が安い」を挙げた。情シスは、外部の攻撃より「内部関係者による情報の持ち出し」にリスクがあると考えており、セキュリティを高めよと上からも言われているが、最終的にはコストを意識しなければならない。そんな板挟みの現状が伺える。

photo 業務用クライアントPC導入時に重視する点

 では、9割が固定パスワードを使っていると答えた読者は、具体的にパスワードの安全性を高めるためのポリシーをどう設定しているだろうか。

photo パスワード ポリシーの設定状況

 パスワードの最小文字数、複数の文字種を組み合わせる、有効期限を設定するなど、基本的なことはやっているが、「業務システムごとに異なるパスワードを設定してもらう」まではユーザーに強いていないことが分かった。

 ではなぜ、そこまで複雑なことをしないのか。現在のユーザー認証方法で懸念していることを聞くと、情シスはユーザーのセキュリティに対する意識が低いと思っている。実態として「メモや付せんに書いて置いている人がいる」と44.2%も回答していることも原因の1つだろう。

photo 現在のユーザー認証方法で懸念していること
photo パスワード管理状況でリスクと認識していること

 でも、それでいいのか。クライアントPCのパスワード管理の甘さが引き金となる「リスト型アカウントハッキング攻撃(リスト攻撃)」と呼ぶ脅威が最近、特に危険視されている。

 リスト攻撃は、入手したあるパスワードをもとに他のシステムにも次々に攻撃を仕掛け、アカウントの乗っ取りを図る攻撃手法だ。個人で利用するSNSのパスワードが漏れた場合、もしそのパスワードを他のサービスでも使い回していたらどうなるか。個人オンラインバンキングのもの、さらには社内システムのリモートアクセスやイントラネットなどまで脅威が及ぶ可能性がある。ここが危険とされている理由だ。

 冒頭で紹介した「勤務先で懸念されているセキュリティ課題」の結果では、内部不正のリスクは顕在化しているものの、「リスト型アカウントハッキング攻撃」は17.3%にとどまり、リスクとして顕在化できていなかった。ここが穴になり、今後リスト攻撃で狙われる可能性が高いことになる。

 価格を抑えつつ、あらゆるセキュリティ対策を行うには、ユーザーへ求めることがどうしても多くなってしまう。パスワードはシステム個別に設定せよ、パスワードは絶対に使い回すなと言わなければならない。

ユーザーの本音:「パスワードを使い回すな」と言われても……

photo  

 もちろん社員としても、パスワードの使い回しがよくないことくらいは分かっているかもしれない。しかし、それでもやめられない現状がある。仕方なくパスワードを使い回している。

 なぜ「仕方ない」のか。人間の記憶力には限界があるからだ。

 1つや2つならまだしも、業務で使うツールのすべてが違うIDとパスワードだとしたらどうだろう。覚えきれない。だから社員は、覚えやすいパスワードを設定して使い回してしまう。あるいは付せん紙にパスワードを書いたり、ノートPC内にメモとして残す、手帳や個人のスマホにメモをするなどで対策する。ユーザー個人にパスワードを管理させることを前提とするなら、リスクはどうしてもなくならない。それはユーザーのせいではなく、適切な手段を提供できていない情シス部門、そして経営者の課題として認識すべきではないだろうか。

 そう。ユーザーを含めてユーザーに管理を委ねるIDとパスワードによる認証は「すでに限界」であるといえよう。今後、さらに激しく、容赦なく忍び寄るサイバー脅威に対して、それ以外のログイン認証の手段が必要だ。セキュリティを高めつつ、利便性も損ねず、コストメリットも出せる、何かいい対抗策はないのか……。それが、いまの情シス、そしてユーザー全員の思いだろう。

「生体認証」でパスワードのあり方を再度見つめ直す

photo クライアントPCの認証手段として適すると注目される「手のひら静脈認証」

 サービスごとに異なるパスワードを使い、それを確実に管理し、適切に運用する――。もはや、それを行わない企業は潜在的なリスクを抱え続ける。

 この無理難題を解決する方法がある。「生体認証」だ。

 生体認証はその人しか持ち得ない“しるし”を使い、本人を特定するための認証手段だ。特に広く使われている「指紋認証」「静脈認証」がよく知られている。昨今ではスマートフォンや銀行のATMなどでも利用され、一般ユーザーにも身近な存在になりつつある。

 誰がシステムにログイン操作を行ったか、ログをきちんと残すことができること、そして内部不正に対する抑止力としても有効であることも見逃してはならない。生体認証は確実に本人を特定し、認証管理ができるため、利用者のセキュリティ意識が高まることにもつながる。

 特にその中でクライアントPCの認証手段として適すると注目されるのが「手のひら静脈認証」だ。手のひら静脈のパターンを個人の識別子として利用する方法で、ユーザーはさっと手をかざすだけで認証が完了する。静脈、つまり内部の血管を見るということは、偽造が困難で、紛失も盗難のリスクもない「体の中の情報」を使う点が個人の認証に極めて適している。


手のひら静脈認証の特徴
ポイント 解説
(1)高い安全性 静脈は体の中の情報なので、盗まれ難い。体内情報のため、指紋のように残留することがない
(2)高い認証精度 手のひらは静脈本数が非常に多く、複雑に交差しているため、手を構成する部位の中でも高い認証制度を実現する。太い血管が走っているため、指の静脈に比べて寒さの影響が少ない
(3)高い受容性 手のひらは、誰でも、いつでも認証に使える部位である(指紋は、ない人、薄い人がいる)。非接触で衛生的かつ誰でも抵抗感なく使える。手をかざすだけの簡単な操作で認証できる

手のひら静脈認証センサーを内蔵したPCが“すでにある”のをご存じでしたか?

 パスワード認証に関わる課題を解決し、内部犯行を抑制できる手のひら静脈認証はあらゆるシーンで使われはじめている。最近はノートPC、タブレットなどにも内蔵されるようになった。

photo カーソルキー下の約2センチ角の黒い部分が手のひら静脈認証センサーだ。タブレットやモバイルノートPCに内蔵できるほど、小型化が進んだ

 手のひら静脈認証の仕組みで、パスワード管理の仕方が大きく変わる。

 その認証に手のひら静脈認証を導入すれば、手をかざすだけで社内システムの認証が完了する。システム側でパスワードと生体情報をひも付けて一元管理し、パスワードを自動で入力する仕組みなので、社員がパスワードを意識する必要がなくなる。クライアントPCにパスワード情報を残さず、社員の記憶に頼らない強固なIDとパスワードをサービス個別に設定できる。もちろん、社内でも、外出先からでも同じ認証方法を提供できる。

 富士通の手のひら静脈認証ソリューションであれば、クライアントPC、パスワード情報をセキュアに管理する専用の認証サーバ(Secure Login Box)、認証ソフトウェア(SMARTACCESS/Premium)を既存の業務システムにアドオンするだけで機能する。安価なPCより値は張るが、総額200億円もの金銭的補償(お詫び対応)が発生した例もある情報漏えい事件を思い出してほしい。情報漏えい事件を起こしてしまったら、結果的に多額のコストが余計に発生することになる。

  • ユーザーには、パスワード自体を意識する必要がなくなり利便性が向上
  • 情報システム部門には、パスワード認証に関連する工数や費用の削減
  • 経営者には、従来型の対策では解決できなかった認証セキュリティの強化

 の効果が期待できる。

 これらの高いセキュリティを実現できるPCを「企業として絶対に守らなくてはならないエリア」や「実ユーザーとなる社員の業務マシン」として配置することで、パスワード認証にまつわる、情シス/経営者/ユ−ザーそれぞれが抱えていた課題がほぼ解決できる。企業を守る鍵は「手のひら」にあったのだ。

 「生体認証システムのないPCは、業務PCとしての要件を満たさない」──。そんな時代が近い将来、やってくるだろう。企業の情報セキュリティ対策が重要と叫ばれるが、最も身近に使うクライアントPCのセキュリティとパスワード管理の部分が意外と軽視されている。まずは企業の安全性を高める強力手法として「生体認証、手のひら静脈認証という技術が必要であること認識し、それが内蔵されているPCがすでに存在すること」を知ってほしい。

 手のひら認証ソリューションを提供する富士通は、クライアントPCのセキュリティ対策を考える特設サイト「FUJITSU PCセキュリティラボ」をオープンした。手のひら静脈認証をはじめとする生体認証、セキュリティに関する情報やソリューションを紹介していく。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.


提供:富士通株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年2月28日

FUJITSU PC セキュリティラボ