弱点だらけの「パスワード」、まだ使い続けますか？ 楽で強固な代替手段を解説：英数字だけでは安全性に限界

パスワードによる認証はセキュリティ対策として一般的だが、攻撃が高度化する今、見直すべき時期が来ている。パスワード運用の“理想”と“現実”を解説した上で、有効な代替手段を紹介しよう。

PR／ITmedia

PR

　パスワードは広く普及している認証手段だが、セキュリティ面で多くの課題を抱えている。推測しやすい脆弱（ぜいじゃく）なパスワードを使用したり、複数のサービスで使い回したりするといったずさんな運用は大きなリスクを招く可能性がある。

　本稿はセキュリティの観点からパスワードによる認証の限界を指摘し、これに代わる新たな認証手段を解説する。

気が付けば無法地帯に　パスワード運用の“理想”と“現実”

　情報処理推進機構（IPA）が2023年に公開した「コンピュータウイルス・不正アクセスの届出状況」によると、「ID、パスワード管理の不備」は依然として不正アクセスの主な原因となっている。

　名前や誕生日、「123456」「password」といった推測が容易なパスワードを設定した結果、ブルートフォース攻撃（総当たり攻撃）やパスワードリスト攻撃を受けてシステムに侵入されるケースが後を絶たない。

パスワードにはセキュリティ上の多くの弱点がある（出典：KDDIデジタルセキュリティ提供資料）

　強固なパスワードを設定したからといって油断は禁物だ。最近はソーシャルエンジニアリングといった手段でID／パスワードを窃取し、正規のユーザーになりすましてシステムに侵入するという巧妙化した攻撃も多発している。システム的には「ID／パスワードさえ合っていれば本人」と見なされるため、こうした不正アクセスを見破るのは困難だ。

　恐らくこのようなパスワードの危険性については多くの企業が理解しており、「パスワードは他の人と共有せず、使い回しも避けましょう」「それぞれ十分な長さと複雑さを持ったパスワードを設定しましょう」といったパスワードポリシーを定めることでこれに対処している場合もあるだろう。

　しかし、こうしたルールが実際にどれだけ守られているかについては疑問が残る。

KDDIデジタルセキュリティの大越健司氏

　KDDIデジタルセキュリティの大越健司氏（CROSS本部 副本部長）は、「パスワードは本人のみが知るべき情報であるにもかかわらず、『共用のPCやシステムを利用しているから』『緊急の用件だから』といった理由で貸し借りするケースを見聞きします。本人以外でも知ってさえいれば認証を突破できてしまう点は、パスワードという仕組みの非常に脆弱な部分です」と指摘する。

　さらに、一度貸し借りが発生したパスワードがきちんと変更されることも少ない。職場では「部長のパスワードはこれですよ」という具合に広がり、アカウントを貸した人以外がログインできてしまうこともある。もちろん貸した側もその行為を認識はできない。つまり、情報システム部やセキュリティ担当者のあずかり知らぬところでルールが形骸化し、セキュリティレベルが保たれるどころか、ガバナンスが効いていない状態になっている。

　「パスワードの運用は基本的に信頼関係に基づいているため、そこに悪意のある人物が絡めば簡単にルール違反ができます。しかしルールを厳密に縛り過ぎると、それはそれで課題が生まれます」

　少しでもパスワード認証を強化するために、「このシステムのパスワードは、大文字小文字と英数字、記号を混ぜて10文字以上にする」といったルールを定めてシステム的に強制する企業もある。だがあまりにルールを複雑にすると、今度はシステムの増加に伴って増えるパスワードをユーザーが覚えられず、使い回しなどにつながる恐れもある。根本的にパスワードによる認証は限界を迎えているのだ。

ユーザーが面倒にならない「楽で強固な認証手段」はあるか？

　認証には複数の方式があり、パスワードは人の記憶、つまり「知識情報」に基づいている。これ以外には、ユーザーが所持するトークンやICカード、デバイスなどの「所持情報」を使った認証、指紋や指静脈、顔といった「生体情報」を使った認証方式がある。米国立標準技術研究所（NIST）は、この3つの方式のうち2つ以上を組み合わせる「多要素認証」を推奨している。

　ただ、これまでの多要素認証は多くのユーザーに何らかの操作を強いたり、デバイスを追加する必要があったりして、なかなか浸透しなかった。

　一例を挙げると、スマートフォンにショートメッセージサービス（SMS）でワンタイムパスワードを送信するSMS認証がある。手軽な方法だといわれているが、送られてきた数字を確認するためにスマートフォンのロックを解除して手作業でPCに入力するという手間がかかる。

　「SMS認証は手間の割にそれほど強度もなく、米国土安全保障省 サイバーセキュリティ・インフラセキュリティ庁（CISA）が示したベストプラクティスガイダンスでは、SMSによる二要素認証は使うべきではないとされています。認証が大して強化されるわけでもないのに面倒な作業をやらされるのはユーザーとしても当然望んでいないでしょう」

　では「楽で強固な認証方法」はないだろうか。大越氏はそれを実現する認証手段として、FIDOアライアンスが標準化した「FIDO2」や「パスキー」というパスワードレス認証規格を挙げる。生体認証情報を複数のデバイス間で安全に共有すれば、パスワードやSMSメッセージのように第三者に知られることなく、パスワード不要でよりセキュアに認証できる。AmazonやApple、Googleなどがサポートし、国内でもB2Cサービスの世界で浸透している。

実装が難しいパスワードレス認証を簡単に実現する秘策

　ただ、認証回りの技術に詳しいエンジニアが自社にいるならばともかく、企業が持つ数十種類に及ぶさまざまなシステムやクラウドサービスにこのFIDO2に基づくパスワードレス認証を組み込むのは困難だ。

　この課題を解消するのがKDDIデジタルセキュリティの「ぱすとり」だ。米国のセキュリティ企業Secret Double Octopusが開発したソフトウェアをベースに、KDDIデジタルセキュリティが構築・運用した基盤を通して“SaaSライク”にパスワードレス認証ができるサービスだ。

　SAMLに対応したクラウドサービスの他、PCへのログインやロック解除にも利用できる。PCへのログインについては「Windows」「macOS」「Linux」「ChromeOS」など、幅広いOSに対応している。

　認証基盤の運用負荷がないため情報システム部の負担も低減できる。PCと「認証器」となるスマートフォンに専用ソフトウェアをインストールするだけでパスワードレス認証を利用できるようになる。

ぱすとりの利用イメージ（出典：KDDIデジタルセキュリティ提供資料）

　「指紋をかざしたり、顔を向けたりといった日々のスマートフォンのロック解除と同じ使い慣れた方法だけで各種サービスにログインできるので、ユーザーに負担をかけずにセキュリティを確保できます」

　店舗などで共用PCを利用している場合、システムやクラウドサービスごとに異なるぱすとりのアカウントを割り振ることで、より厳密な権限管理が可能になる。

　「共用PCから不正ログインを試みたユーザーがいたとしても、ぱすとりから認証の通知が届くのは、正しいユーザーのスマートフォンだけです。店長など機密情報を扱うユーザーだけがぱすとりを利用する設定にすれば、アルバイトがログインを試みても通知が届くので、アカウントの乗っ取りや情報の盗み見を避けられるでしょう」

　BYODで個人のスマートフォンを認証器として利用する場合、端末にロックをかけていない可能性もある。ぱすとりは、初回認証時に「ロックを設定するように」という画面を表示し、ロックをかけていないスマートフォンでは認証ができない仕組みにしている。端末の設定を一元管理できるMDMを組み合わせてスマートフォンのパスコードに関するルールを徹底すれば、より強固な環境を実現できる。

セキュリティと利便性を両立させてパスワードからの脱却を

　パスワードはコンピュータの歴史とともに使われ続けてきた。しかし、これほどコンピュータが広く使われ、サイバー攻撃が横行する時代においては、運用面でもセキュリティ面でも限界が見えつつある。

　「誰かのパスワードを教えてもらわないと承認できないような事態があるならば、明日の朝まで待ってもらうか、誰かに代理で承認してもらうというのが本来のルールであるべきです。しかし、パスワードという手法は、そうしたルールを破って渡ってはいけない川を渡れる余地を残した仕組みになっています」

　それを避けるためにルールを厳しくし、仕組みで縛り付けても、ユーザーは何らかの「抜け道」を見つけ出そうとするだろう。

　ぱすとりのような、セキュリティと使いやすさを両立させる仕組みを活用することで、一定の権限の中で利用者が便利に使える環境を構築できるはずだ。こうした仕組みが広がることで、長年付き合ってきた「パスワード」が使われる場面をなくしていけるだろう。