Special
» 2015年03月27日 10時00分 UPDATE

最終回 セキュリティエバンジェリストに聞く:手のひら静脈認証は、セキュリティが「良くなる」と「楽になる」を両立するか?

本連載を通じて、パスワード認証には「なりすまし」や「不正ログイン」といったリスクあることを述べた。だがもう1つ大きな課題がある。それは、従業員にもシステム管理者にも大きな負担を強いていることだ。手のひらをかざすだけで認証できる「手のひら静脈認証」は、このような現状を解決する可能性を秘めている。辻伸弘氏に聞く連載最終回。

[PR/ITmedia]
PR

【連載】セキュリティエバンジェリストに聞く (全3回)

辻 伸弘(つじ のぶひろ)

ソフトバンク・テクノロジー所属。主に、コンピュータの弱点を洗い出し修正方法を助言するペネトレーションテストに従事する。民間企業、官公庁問わず多くの検査実績を有する。現在ではセキュリティエバンジェリストとして、TVやインターネットを通じた情報発信も積極的に行っている。監訳に『実践Metasploit』(オライリージャパン)など。


「パスワード定期変更」の効果は限定的

 各団体が提示するセキュリティのガイドラインでは、しばしば「パスワードを定期的に変更せよ」と述べられている。不正ログインの被害にあった企業も、その後の予防策として「念のためパスワードを変更してください」と登録ユーザーへ呼び掛けることが少なくない。では、パスワードを定期的に変更すれば、なりすましの被害は防げるのだろうか?

 残念ながら、パスワードの定期変更には限定的な効果しか期待できない。定期的に変更したからといって、それが「123456」や「password01」といった安易なものでは容易に突破されてしまう。大前提としては、まず、十分な長さを持った、複雑なパスワードを設定し、使い回しをなくさなければならないのだ。

 パスワードを変更すれば、侵入されてしまった後の被害拡大をタイミングによっては防ぐ効果はあるかもしれない。しかしそれも、長期的に潜伏するタイプの攻撃に対しては効果がある、ということであり、侵入後、即座に情報を盗むことで目的を達成するような攻撃に対しては、その効果は極めて薄い。

 セキュリティエバンジェリストとして知られるソフトバンク・テクノロジーの辻伸弘氏は、「いずれは、IDとパスワードがなくなる時代が来たり、もしくは多くのユーザーが無理なくパスワードを使いこなせる方法が登場したりするでしょう。しかし、今すぐには難しいですね」と話す。確かに、パスワードをなくすのであれば、既存システムを大幅に改修しなければならず、現実的ではない。

 辻氏はまず、1つのマスターパスワードで複数のサービスに対するパスワードを管理する「パスワード管理ソフト」の利用を提案する。また、使い方に注意さえすれば、紙の手帳などにメモして管理するという方法もあるという。

 「リスト型攻撃を狙う者はインターネット上にいます。ですから、どんなにがんばっても僕の手帳の文字は読めません。紛失や他人に見られるリスクはありますが、肌身離さず持っているものに書いておく、そして、その書き方に工夫をしておき、自分が思い出せるルールで記しておくといったやり方なら安全にパスワードを管理できます」(辻氏)。

 個人ユーザーとして、コンシューマー向けのWebサービスのパスワードを管理するなら、こうした方法もよいだろう。しかし、企業システムの場合はパスワード認証に要する運用の手間を考慮しなければならない。

 多くの企業では、パスワードを忘れた場合、情報システム部門に問い合わせることになっている。しかし「月に1回程度しか使わないシステムの場合、パスワードを忘れがちです。月末や四半期末など、期末の処理が多く発生する際には、問い合わせも増えるようです」(辻氏)。

 長い目で見ると、このような運用コストはかさむ一方だ。加えて、これまでも述べてきたように、ユーザーにも複数のパスワードを設定し、覚えてもらうという負担を強いている。「パスワードを考えたり、それらを定期変更したり、管理したりという作業は、一般の従業員にとって業務ではありません。“コスト”であり“リスク”なのです」と辻氏は指摘する。

 このような課題を解消するためにも、「既存の認証システムと連動できる、より便利な仕組みが求められています」と辻氏は話す。

安全で、楽に認証できる手のひら静脈認証

03tsuji_mishimor.jpg 手のひら静脈認証を試す辻氏

 その意味では、システムが増えるとともにその数が増えてしまい、ユーザーが覚えきれなくなりつつあるパスワードに代わり、手のひらをかざすだけで認証できる「手のひら静脈認証」は「1つの有効な手段」と辻氏は指摘する。

 「そもそも“パスワードを覚える”こと自体がナンセンスだと思います。認証をもっと楽にするため、人間の記憶に代わる手段を採用するのもありではないでしょうか」(辻氏)。

 辻氏によると、セキュリティ製品の多くは堅牢性と利便性のうち、いずれかの“二者一択”を強いて市場から消えたが、それを両立して普及したものがあるという。

 「それは、アンチウイルスソフトウェアとファイアウォールです。いずれも、インターネットの利便性を損なわず、かつ安全に使えるようにするものです」(辻氏)。同氏によると、手のひらをかざすだけで使える手のひら静脈認証も、その“仲間”に入る可能性があるという。

 辻氏によれば「脆弱なパスワードが狙われ、なりすましが横行する」「パスワードの使い回しによって不正アクセスが頻発する」という状況を防ぐための1つの解決策になり得る可能性があるのは、間違いないという。

 また「手のひら静脈認証だけで、あらゆる問題を解決できるわけではありません。運用上の問題もあるでしょう。また、実際には、ログのチェックをはじめとする監視の仕組みなどと組み合わせて活用していくことになるでしょうし、紛失した際のための暗号化などのセキュリティ対策も今まで通り併せて行う必要はあります。銀の弾丸や魔法の箱は存在しませんから。導入には慎重にその製品の良さを最大限に活用できるかどうかの吟味をする必要はあります」と辻氏は付け加えた。

 「セキュリティ全体に共通することとして、『ちょっと良くなる』けれど『ちょっと不便になる』というものが多いのです」と辻氏は話す。しかし、「良くなる」だけでなく、情シス部門も従業員も「楽になる」のが手のひら静脈認証だと言えるのではないだろうか。

手のひら静脈認証を体験する辻氏

032tsuji_mishimor.jpg

 過去、とあるデータセンターへの入館時に生体認証を体験したという辻氏だが「僕の場合、うまく認証されなかったんですよね」と話す。

 今回、手のひら静脈認証を試したところ、すんなり登録および認証ができた。印象に残ったのは認証処理のスピードだといい、「早いですね」と驚いていた。将来的に、一般に広く普及すれば、セキュリティに関するリテラシーの低い人にとっても有用ではないかと、期待しているという。


Copyright© 2016 ITmedia, Inc. All Rights Reserved.


提供:富士通株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年4月26日

FUJITSU PC セキュリティラボ