ID・パスワード方式はもう限界？ 業務PCのセキュリティと利便性を両立する方法とは：現役の情報システム部門に聞く

セキュリティリスクから企業を守るには、業務PCのセキュリティ強化が欠かせない。一方で、利便性やコストの安さも求められる。このようなジレンマのなか、情シス部門はどのような課題を感じ、またどのようなソリューションを望んでいるのか。情報システム部門を率いる立場にある3人の方を招き、率直な話を聞いた。

[PR／ITmedia]

企業セキュリティの最初の砦、業務PCにおける認証強化の必要性

　昨今、サイバーセキュリティを取り巻く情勢はますます深刻化している。企業の機密情報を盗み取ろうとする「標的型攻撃」やWebサイト改ざんのように企業が直接の被害者となるだけでなく、攻撃がきっかけとなって顧客情報が漏えいしたり、悪意あるソフトウェア（マルウェア）の配布に加担するといった形で、加害者となる恐れもある。そうした場合、企業が社会的責任を問われることは避けられない。

　ただし、こうした攻撃がいきなり顧客情報データベースなどの「本丸」を狙うことはまずない。まず糸口として狙われるのは、社員が日々利用している業務PCだ。ログインに利用しているパスワードを何らかの手段で手に入れ、なりすましログインし、社内システムに深く入り込んでいく……というのが攻撃者の典型的な手口である。逆に言えば、企業システムをさまざまなサイバー攻撃から保護するにはサーバだけを保護していては不十分であり、個々のPCにおける認証の強化が欠かせない。

　一方で業務PCは、社員が毎日使うものであり、その使いやすさや利便性も重要な要素となる。加えて経営的な視点からは、なるべく少ない予算で導入できれば望ましい。こうしたジレンマを抱えている情報システム部門は、業務PCの調達、運用管理に関してどのような課題を抱えているのだろうか？

　ITmedia エンタープライズでは、その現状を探るべく、情報システム部を統括する立場の方々を招き、匿名での座談会を実施。多数の業務PCを運用していく上で、パスワードを前提とした認証の限界や、セキュリティと生産性の両立に際しての苦心といった生々しい声を伺うことができた。この生の声が「これからの業務PCに求められる要件」のヒントになるはずだ。

座談会参加者

• 大森礼氏（金融機関 IT担当次長）
• 藤原良一氏（精密機器メーカー ITセキュリティ担当）
• 中秀人氏（教育機関 情報システム部）

（順不同、全て仮名）

今、業務PCの認証で各社が抱える課題とは？

　企業のセキュリティレベル全体を上げていく上で欠かせない業務PCの認証。なりすましを防ぐ第一の砦となるこの部分を、各社はどのように固めているのだろうか。一方で、認証を複雑にし、強固なものにすればするほど、その利便性は損なわれてしまう。実際に不便は生じているのだろうか。話を聞いてみると、それぞれに課題があるようだ。

大森氏（金融）　当社は、一般の業務PCはIDとパスワードを用いて認証しています。基幹系や勘定系といった重要なシステムにアクセスする端末では、カードを組み合わせた二要素認証を採用しています。

藤原氏（メーカー）　当社もIDとパスワードを使っていますが、PC起動時、Windows起動時の2段階それぞれでパスワードを入力するようにしています。また、具体的には事業部ごとに判断していますが、重要なデータは端末に置かず、保存する際に暗号化するようにしています。

中氏（教育）　システムは教職員系と個人情報を扱う学生事務系に分かれていますが、後者のPCはIDカードに加え、IDとパスワードによる二段階認証を行っています。

大森氏（金融）　パスワードを複雑なものにするほど、パスワードロック解除を必要とする（パスワードを忘れてしまう）人が増え、ヘルプデスクの負荷になることが課題です。特に大型連休明けになると、「パスワードを忘れたので、解除をお願いします」という連絡がヘルプデスクに入ってきます。その手間、つまりコストがかなりかかっています。

中氏（教育）　うちは、IDカードを忘れた職員への貸し出しはしないため、忘れた職員はIDカードを取りに帰るしかありません。仮に、誰かがいれば室内に入れてあげることはできますが、そのときは共用PCを使わざるを得ません。

---

　このように、各社とも業務PCのログインには基本的にパスワードによる認証を採用しているが、パスワードのように「人の記憶」に頼るものでは、サポートデスクの負荷が増大してしまうという課題があることも明らかになった。

　一方、カードを用いた二要素認証を活用すれば、セキュリティはより強固になるが、どうしてもカードの「紛失」や「置き忘れ」といった問題を避けられない。いずれの手段も、一長一短だと言えよう。

パスワード認証の限界を超える、新たなソリューションは？

　では、この状況を改善できるような、新たな手段の可能性はないのだろうか？

大森氏（金融）　やはり、社内の業務PCの認証方法は、生産性を阻害しているのではないかと感じています。一方で、顧客向けに提供しているサービスでは、法人向けに電子証明書を採用し、個人向けには「秘密の質問」などログインした状況に応じた追加の認証を採用しています。なりすましを防ぎ、パスワードが盗まれても不正ログインされないよう強固なものとしています。新しい手法との戦いなので、常にこちらも新たな対策に取り組んでいます。

藤原氏（メーカー）　当社の個人顧客向けサービスは、金銭などを取り扱わないこともあって大森さんのところほど厳密ではなく、一般的なレベルの対策に留めています。しかし、内部犯行の対策に関しては話は別です。これまでは性善説の考え方で対策をしていませんでしたが、もし社内の誰かからパスワードが盗み見られてしまった場合、内部不正から機密情報の流出につながる可能性は否定できません。より強固な方法を考えていかなくてはならないと考えています。

大森氏（金融）　当社の場合、例えば機密情報を扱う一部の役員層は、よりセキュアな手段として生体認証（指紋）も使っています。

藤原氏（メーカー）　過去、指紋認証の導入を検討したことがありました。しかし、当時は認証用センサーを内蔵したPCが少なく、かつその時期に調達していたPCよりもコストが高かったため、見送りました。

中氏（教育）　同様に、指紋認証を検討しました。ただ、コストとの兼ね合いに加え、職員から「指紋の情報を取られるのは嫌だ」という意見が出たこともあり、見送りました。しかし現在は、指紋以外の生体認証の選択肢も増えているので、前向きに検討したいと考えています。

---

　パスワード認証の場合はどうしても盗み見られたり、漏えいしたりする可能性は否定できない。ならば、盗むことが難しい、本人しか持ちえない情報で認証すればよい。つまり「生体認証」に可能性が見出せそうだ。ただこれまでは、コストをはじめとした課題が障壁になっていたようだ。

経営者も認識し始めたセキュリティ対策の重要性

　認証をはじめとするセキュリティ対策は、リスクの増加やそれによって生じる被害の大きさをふまえると、今や経営課題だと言える。経営層との間で、実際にその認識は共有されているのだろうか？

藤原氏（メーカー）　当社はこの数年で、会社全体で「セキュリティは最優先でやれ」という体制に変わってきました。社内からも、新聞などで情報漏えい事件を目にすると「うちは大丈夫か」と尋ねられることが増えました。

中氏（教育）　実はうちの大学は、普段から“山のような”サイバー攻撃を受けています。また内部的には、メール誤送信などによる情報漏えいが時おり発生しています。このような場合は、発生するたびに内部の委員会に報告し、そこから文部科学省に報告するというルールです。また大学の上層部がCISO（最高情報セキュリティ責任者）を兼務していますから、かなり力を入れて取り組んでいますね。

大森氏（金融）　当社は金融業ですから、監督省庁からも確実にしっかりやるようにと通達が来ています。経営層も当然、その意識は共有しています。対策を「やる」となったら、予算や工数をかけてでもやる、という意識です。

藤原氏（メーカー）　今、中期計画を見直すタイミングなのですが、IT予算全体のなかでセキュリティ予算の比重を増やしたいと提案したところ、経営陣の承認を得ることができました。

---

　このように経営層も含め、「セキュリティは全社的な課題」だという共通認識が生まれているようだ。きちんと目的や効果を説明すれば、投資への理解も得られるだろう。

セキュリティと生産性を両立させる「業務PCに求められる要件」とは

　セキュリティに関して情報システム部門と経営層のギャップが埋まりつつある今、第一の砦となる業務PCの認証に関して、どのようなソリューションが期待されているのだろうか。

藤原氏（メーカー）　パスワードの場合、どうしても人が覚えなくてはならず、しかもその数がたくさんある。定期的な変更も必要です。そういうわずらわしさを社員が意識せずに使える仕組みを模索しています。このことは生産性の向上にもつながりますから、生体認証には期待しています。

中氏（教育）　生体認証について様々に調べているのですが、手のひら静脈認証センサーはとても進化しているようですね。センサーサイズが小さく、精度も高くなり、コストも下がっているようです。非接触で使えるというメリットもあるので、次に業務PCを入れ替えるタイミングでは、前向きに検討したいと考えています。

大森氏（金融）　生体認証で、端末やWindowsにログインするだけでなく業務用アプリケーションにもログインできるソリューションがあると魅力的ですね。端末やWindowsのログイン単体だけでは足りないのであまり意味はありませんが、システムごとに違うパスワードを用いて認証しているのを、生体認証1つで置き換えられると社員は確実に便利になるはず。業務システムまで統一して認証ができれば、利便性とセキュリティの両立が図れるのではないでしょうか。

---

　今回の座談会では、企業の情シス部門による発言を通じて、PCの認証に広く使われている「ID／パスワード」の限界が明らかになった。一方、経営層も含め企業全体でセキュリティ対策に取り組む意識が高まっているという明るい材料も見えてきた。

　パスワードに代わる新たな手段に求められるのは、セキュリティと利便性の両立だ。これを実現できるソリューションとして、生体認証の中でも静脈認証という選択肢が、現実味を増しているようだ。

富士通の「手のひら静脈センサー内蔵PC／タブレット」が解決

手のひら静脈センサーを内蔵する、法人向けタブレット「ARROWS Tab Q775/K」とモバイルノートPC「LIFEBOOK S935/K」

　座談会によって、パスワードに代わる生体認証の可能性に期待が寄せられていることが明らかになった一方、「外付けのデバイスを追加したくない（できれば内蔵したい）」や、「指紋をとられるのには抵抗感がある」といった声も出た。

　世界最小・最薄・最軽量クラスの手のひら静脈センサーを開発した富士通は、これを内蔵した法人向けPC／タブレットを提供している。PC／タブレットに手のひらをかざすだけで認証でき、ログイン時の安全性を確保する。体内に存在する静脈の情報を利用するため、偽造や盗難も困難だ。

　さらに、専用サーバ「Secure Login Box」、専用ソフトウェア「SMARTACCESS/Premium」を組み合わせた「生体認証ソリューション」も用意する。Secure Login Boxでは認証に必要なユーザーデータを一元管理でき、SMARTACCESS/Premium経由で、Windowsや各種業務アプリケーションへログインできるため、シングルサインオン環境の構築も可能だ。