Yahoo! JAPANの実体験に基づくパスワード認証の限界とは?

国内最大規模のインターネットサービスを提供しているYahoo! JAPAN。多数の顧客情報を抱え、"日本一狙われる"企業と言ってもいい同社は、どのような原則でセキュリティリスクに取り組んでいるのだろうか。中でも鍵となる「認証セキュリティ」対策を中心に、同社の取り組みを聞いた。

» 2015年03月13日 10時00分 公開
[PR/ITmedia]
PR

「業務を妨げない」を前提にしたセキュリティ

 ポータルサイト「Yahoo! JAPAN」を中核に、インターネット検索サービスやショッピング、オークション、ニュース、ゲーム、広告に至るまで、国内最大規模のインターネットサービスを提供しているのがYahoo! JAPANだ。

 ニールセンの調査によると、国内インターネットユーザーのうち約8割がYahoo! JAPANを利用しているという。これだけユーザー数が多いと、サイバー攻撃者から魅力的な攻撃ターゲットに映ってしまうだろう。事実、2013年に同社は複数回の不正アクセスを受けた。このうち2013年5月の攻撃では、管理者権限を持つ端末からサーバへのアクセスが試みられ、最大で2200万件のユーザーIDを含むデータが抜き取られようとしていたことを同社が検知したという。

高氏 ヤフー 社長室 リスクマネジメント室 プリンシパルの高元伸氏

 一連の不正アクセスの教訓を生かし、Yahoo! JAPANはどのようにセキュリティリスクに向き合っているのだろう。そして、鍵となる従業員のPCやタブレットといった端末の「認証」についてどのように考えているのだろうか。社長室 リスクマネジメント室 プリンシパルの高元伸氏に聞いた。

 Yahoo! JAPANのサービスは多岐に渡り、開発や営業、サポートなど、それを支える従業員は約6000人。これらスタッフはPCだけでなく、タブレットやスマートフォンなど、最新のさまざまなデバイスを業務に利用しており、「複数のデバイスを利用しているスタッフも多く、管理すべき端末は数万台となる」(高氏)という。

 同社が重視しているのは、「セキュリティはあくまで業務を行うために必要なもの。業務はマーケットのニーズに応じて変化する。その変化やバリエーションに合わせ、業務の本質を理解した上でセキュリティとのバランスを取っていかなければならない。業務のあり方をセキュリティ要件によってしばることはできない」(高氏)ということ。いい意味での"現場のわがまま"に応えながら、セキュリティ対策をバランス良く組み合わせていくことが大切だという。

重要性に応じて分類し、絞り込んで認証を実施

 セキュリティ対策を検討する上で同社が重視しているのは「どのデータをどこまで社外から使わせるか」「どのデータをどの経路から、どうやって守るか」を整理することだ。

 「まずローカル環境にデータを置かざるを得ない業務と、そうでない業務を切り分ける。ローカル環境にデータを置く場合でも、不要になれば削除するという運用にすれば、攻撃される機会そのものを制限できる」(高氏)

 もちろん、中には絶対に社外からのアクセスが許されないデータもある。そうしたものは、社内の特定の業務エリアからのみアクセスさせる仕組みにしている。

 社内も同様だ。一般の業務システムと取り扱いに注意が必要な情報を扱うシステム、そして、サービス提供などを行うサーバや顧客データベースなど、絶対に守らなくてはならない重要なシステムというように、業務エリアを分類している。それぞれの業務エリアを行き来する際には、多段階で認証を行う仕組みだ。

 例えるなら業務エリアを、社内外の人々が行き交う「城下町」、関係者のみが入れる「城」、経営陣に限って行き来できる「本丸」に分け、それぞれの境界にあたる部分に「門」を設けて人の出入りを監視し、不審な人間の侵入を防ぐイメージだ。

 さらに、業務内容を見直して整理し、重要なデータにアクセスできる経路をなるべく絞り込む。ログを取得して、監視しやすくしているのも戦術の1つだという。「重要な情報については、それを必要とする業務そのものの数を減らしたり、権限を持つアカウントを絞り込んだりした上で、精査やチェックを行う仕組み」(高氏)。特に重要なデータにアクセスする際は、処理を実際に行う担当者と承認者に分け、予定にないアクセスが行われていないかを確認するダブルチェックする体制を徹底して、そのログ履歴も取得しているという。

実体験に基づく、IDとパスワードによる認証の限界

高氏 「認証」はセキュリティ対策の要の1つと指摘する高氏

 こうした一連の対策は、過去の不正アクセスの経験から同社が得た「守ることも重要だが、それだけでなく侵入を前提とした検知、被害拡大の防止に力点を置くことが重要だ」という教訓を反映したもの。その中で鍵となるのが「認証」だと高氏は言う。

 上述した通り、Yahoo! JAPAN社内では万単位の端末が利用されている。このコストを考えると、ユーザーが頻繁にログイン、ログオフを繰り返す大多数の業務用端末の認証には、基本的にIDとパスワードの組み合わせを用いざるを得ない。

 だが、パスワードは人間の記憶に頼る仕組みだ。「文字の組み合わせを複雑にしたり、使い回しを禁止したりといったといったルールを強制して運用するパスワード認証は、セキュリティ対策として限界があると言わざるを得ない」(高氏)という。

 同社で2013年に発生した不正アクセスの経緯を調査したところ、一部の簡易 なパスワードを設定していた端末が早期に侵入されていた。ただし、「複雑なパスワードでも破られてしまったものもある 」(高氏)とのことだ。近年はコンピュータの性能が向上して、IDとパスワードの組み合わせたパターンを短時間で大量に試行できてしまう。IDとパスワードによる認証は攻撃に対する防御という意味では弱く、一定レベルの時間稼ぎにしかならないというのが、高氏の考えだ。「電子証明書を用いた認証という手もあるが、万が一、社内に完全に侵入されてしまうと、いずれ破られる可能性がある」(高氏)

 また認証での難しさに、破られたことが把握しづらい点も挙げる。特にIDとパスワードによる認証は、それが漏えいして"なりすまし"をされても、なりすましをされたことが分かりにくい。そこで高氏は、ネットワーク上で盗まれにくい情報、または複製が難しい方法など、それ以外の認証方法を検討すべきと提案する。「ログイン履歴を確認するといった検知の仕組みを整え、認証の仕組み自体もトークンや生体認証のような『置き換えが効かないもの』『物理的なモノが必要で、ネットワーク上で複製が難しいもの』を組み合わせる多要素認証によって、セキュリティレベルを強固にできる」(高氏)と述べている。

生体認証に寄せる期待

高氏 インタビューでは高氏に富士通の「手のひら静脈認証」技術を体験してもらったが、特にユーザーインタフェースの使いやすさに関心を寄せていた

 Yahoo! JAPANのセキュリティ対策は、こうした考え方に立ちながら、同時にコストや業務効率といった要素を重視して講じられている。取り扱う情報の重要度に応じて社内を幾つかの業務エリアに分け、業務エリアの外側にアクセスが広がる場合は、認証方法を多段化して強化するという取り組みを進めてきた。また、「教育」という「最も低コストで効率的な方法」にも力を入れ、従業員に繰り返し刷り込む形でセキュリティ意識の浸透を図っているという。

 多要素認証の重要性をあげる高氏だが、手のひら静脈認証をはじめとする生体認証には、どのような期待を寄せているのだろうか。

 例えば、2014年に大きく報じられた内部犯行への対策では、「動機」「手段」「機会」の3つを封じ込めることが重要だと言われる。「もちろん、きちんと業務を精査し、権限の正当性をチェックする体制を整えることが大前提。生体認証は、マルチデバイス環境への対応などの考慮点があるが、他人が認証情報を入手することが困難なため、『本人識別性が高い』という利点がある。機密性の高い業務においては、内部犯行への抑止効果として期待できる」(高氏)

 静脈認証は「体内情報」を利用し、偽造が困難なため、認証セキュリティ対策を講じる上で特に有用な対策手段の1つになるだろう。高氏が語るように、セキュリティリスクを100%回避することは難しいが、業務における利便性と堅牢なセキュリティの両立という観点から、多様なセキュリティ技術をバランス良く組み合わせてリスクを低減させていくことが大切だ。

富士通「ARROW Tab/LIFEBOOK」が搭載する手のひら静脈認証の特徴

Fujitsu

 富士通が法人向けに提供するタブレット端末「ARROW Tab」とノートPC「LIFEBOOK」の一部機種には、本人しか持ち得ない体内情報を用いて認証を行う「手のひら静脈センサー」が搭載されている。高氏が述べた「他人がなりすますことができず、必ず本人特定できる」認証によって、セキュリティ強化を実現するものだ。本体に内蔵されるほどにセンサーは小型化されており、自然な認証が可能となり利便性向上にもつながるほか、いつ、誰が認証を経てログインしたかを確認できるログ管理も可能で、不正の「検知」にも役立つソリューションといえるだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:富士通株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年3月31日

FUJITSU PC セキュリティラボ