認証方法は「IDとパスワードのみ」が7割超 ネットサービス事業者の甘さ露呈（2/2 ページ）

[高橋睦美，ITmedia]

認証の強化「定期的に見直している」企業は半数

　この調査では他にもいくつか面白い設問がありました。例えば「どのようなことをきっかけに認証の強化を検討しますか」という質問では、「定期的に見直している」が49％、「サービスの内容が追加されたとき」が39％という結果となりました。

認証の強化を検討するタイミングは「定期的に見直している」が49％＝「インターネットサービス提供事業者に対する『認証方法』に関するアンケート調査結果報告書」より

　これは裏を返せば、定期的に見直していない企業が約半数あるし、サービスの内容が追加されても6割の企業は認証周りを見直していない、ということです。

　ですが、既存のシステムやデータベース、サードパーティーが提供する外部サービスとの連携は、あらゆるところで広がっていますし、認証周りの技術は、地味ですが確実に進化しています。表でも裏でもさまざまな仕組みが連携していくと思わぬところに「穴」ができる恐れがありますし、認証関連技術を表面だけ捉えて安易に実装すれば、ミスの恐れが高まります。

　それでなくても物事の「接点」には脆弱なポイントが潜みます。だからこそ、インターネットに面した部分ではさまざまな境界防御が講じられますし、クラウドサービスを利用している場合は、どこからどこまでが事業者の責任で、どこからは利用者の責任になるのかを明確にした上で、それぞれが取り組むべき対策が示されています。

　従ってサービスの連携を検討する際にも、接点には注意を払うべきです。どこからどこまでが新規サービスの責任で、どこからが既存、あるいは外部サービスの領域なのか、また異なるサービスやシステムをまたがってやりとりされるデータの信頼性はどのように担保するのかを確認する必要があるでしょう。

　とはいえ、一からアプリやサービスを作るならばまだ、設計段階から検討していくことも可能でしょうが、既存のシステムをベースに拡張していくとなると、あちこちにゆがみが生じたり、これまでできていたことができなくなったりする可能性が高まります。現場のエンジニア的には苦悩が絶えないところでしょうが、無理な自作をやめてベストプラクティスを反映したフレームワークを採用したり、リファクタリングを行う好機と捉えるのも1つの手ではないでしょうか。

　上記の質問では、回答企業の35.7％は「不正利用などがあったとき」には認証の強化を検討するとしています。7payの一件を受けて、見直しに取り組んでいる事業者もあることでしょう。今回の問題の一因と目されているOpenID Connectの実装に関連して、ヤフーが「Yahoo! ID連携」の実装方法を再確認するよう呼び掛けていますので、参考になると思います。

　最後に「ユーザー側にできることは何か」――ここが悩ましいところです。

　今回の不正利用では、パスワードの使い回しをしていなかったユーザーも被害に遭ったと報じられています。だからといって共通のパスワードを使い回していれば、リスクは高まるだけです。やはり、「使い回しをしない」ことは徹底すべきです。また、サービスとサービスの接点になるアプリの連携や、利用履歴に注意を払うことで、異常に早く気付ける習慣をつけておくことが大切になるでしょう。