パスワードによる認証は最もメジャーなセキュリティ対策と言っても良いだろう。だが、この方法は根本的な欠陥を抱えている“破綻した仕組み”だ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
サイバーセキュリティには根本的な問題がある。パスワードによる認証は60年前に始まり、今日もアクセスコントロールに使われる最も一般的な方法だ。だが、これらは信頼性に欠ける。
サイバーセキュリティ事業を営むNetenrichのCISO(最高情報セキュリティ責任者)であるクリス・モラレス氏は「アクセスコントロールは古い技術から派生したものだ」と話し、パスワードを嫌っている。
「私たちは資金を投入してクールなビジネスに取り組んでいるにもかかわらず、セキュリティ全体がパスワードのせいで崩壊する。私たちが抱える問題は、認証に関して中間の状況がないことだ。全てにアクセスできるか、何にもアクセスできないかの二択だ。そして、ただパスワードを知っていればいいだけだ。パスワードを知っていれば信用できると見なされ、全てを手に入れられる」(モラレス氏)
「Cybersecurity Dive」が話を聞いた30人以上のサイバーセキュリティのリーダーたちは、パスワードとIDによる認証は"破綻した仕組み"であることを広く認識している。しかし、今日において、一般的なパスワードとIDがなければ、企業はビジネスを進展させることが難しいのも事実だ。
この問題は目新しいものではなく、インターネットよりも起源が古い。不十分なIDガバナンスは長い間、問題を抱えている。Google CloudでCISOオフィスのディレクターを務めるMK・パルモア氏は、Cybersecurity Diveに対して「私は、幾つかの場合においてIDが問題の根源だと思う」と語った。
アクセスがシステムの基本構造であるとすれば、パスワードは全てをつなぎ合わせる結合組織である。
企業が業務に数千ものアプリケーションやサービスを使用することは珍しくない。調査サービスを提供するForresterによると、大企業は平均367のソフトウェアアプリケーションをビジネスに使用しているという(注1)。シングルサインオン(SSO)が定着しつつあるとはいえ、これらの多くはユーザー名とパスワードにひも付いている。。
これらの過剰な認証情報はIDとアクセス管理システムの集合体を支えており、パスワードマネジャーやSSOサービス、多要素認証(MFA)、その他本人確認と権限付与を目的としたツールが含まれている。
サイバーセキュリティの専門家は多くの場合、パスワードマネジャーやMFAの有効性に対して明確な評価を避ける。なぜならこれらのツールはどんなに欠点があっても組織のセキュリティ体制を強化するからだ。
これらのツールはユーザーによるアクセスを簡素にするが、組織のリスクを一箇所に集中させる。パスワード管理サービスを提供するLastPassへの持続的なサイバー攻撃は数カ月間検出されなかった(注2)。クラウドベースのバックアップから暗号化されたパスワードとユーザー名を含む全ての顧客データが正体不明の攻撃者に盗まれた出来事は、2022年の最も注目すべきセキュリティの失敗事例の一つとなった(注3)。
このサイバー攻撃は防御側の苦難の核心を強調するものだった。
IBM Securityがデータ侵害に関連するコストについてまとめた報告書によると、フィッシングによって盗まれたり漏えいしたりした認証情報の悪用は、依然として最も一般的な攻撃手段であり、10件の侵害のうち3件に関与している(注4)(注5)。
LastPassのCEOであるカリム・トゥバ氏によると、認証情報の操作によるサイバー攻撃は危機的な状況のようだ。「保有するデータの性質を考えると、攻撃者にとって私たちは永遠に魅力的な標的だ」(トゥバ氏)
もちろんこれらの問題はLastPassだけのものではない。
Oktaは2022年にフィッシング攻撃による情報侵害を受け(注6)(注7)、「GitHub」のソースコードを盗まれた(注8)。広く使われている二要素認証サービスである「Twilio」も2022年の夏に、だまされた複数の従業員がサイバー攻撃者に認証情報を提供し(注9)、危険にさらされた。
サイバーセキュリティ事業を営むPalo Alto Networksの調査部門Unit 42のCTO(最高技術責任者)兼バイス・プレジデントであるマイケル・シコルスキ氏は「情報を一元化すると狙われやすくなる。宝石が一箇所に集まっているようなものだ」と述べる。
© Industry Dive. All rights reserved.