ユーザーのパスワード使い回し、企業に手の打ちようは？ BBSakuraが出したシンプルな答え

[PR／ITmedia]

　「パスワードを使い回すのはやめよう」というメッセージは、誰もが聞いたことがあるセキュリティの鉄則だ。しかし、それを実行できている人はどのくらいいるだろうか。パスワードの使い回しは、利用者からすれば「面倒」「覚え切れない」という程度の問題かもしれない。しかし、サービスを運営する側にとっては死活問題だ。

　パスワードの使い回しを狙った攻撃として「パスワードリスト型攻撃」という手法がある。セキュリティに問題のあるサービスから抜き出したアカウント名（多くの場合はメールアドレス）とパスワード、もしくは自動生成したID・パスワードを使い、別のサービスに不正アクセスする手口だ。

　仮に、事業者Aがあるユーザーのパスワードを保持しており、それが漏えいしてしまったとする。そのユーザーがサービスごとにパスワードを使い分けていれば、悪意ある第三者がそれを入手したとしても、悪用は難しい。

　しかしユーザーがパスワードを使い回していると、第三者は手に入れた情報を使って、そのユーザーが使っている事業者Bのサービスに不正ログインできる可能性がある。この場合、事業者Bはパスワードを適切に保存していたとしても、利用者の情報が漏えいする可能性が増す。

　サービス事業者としては、パスワード使い回しを行っている利用者にも非があるというのが本音かもしれない。しかし事業者は、利用者を保護する努力を怠るわけにはいかない。利用者によるパスワードの使い回しが簡単には解消できない現状で、サービス事業者は何ができるのか。その解決策の一つが、SMS（ショートメッセージサービス）を使った二要素認証だ。

パスワードリスト型攻撃を防ぐ二要素認証の仕組み

　SMSを使った二要素認証の仕組みはこうだ。まず利用者の携帯電話・スマートフォンにSMSを送信。そこにしか書かれていない数字の組み合わせを2つ目の認証要素として入力してもらう。

　記憶としてのパスワードと、利用者しか持っていないスマートフォンに届くSMSの2つの要素で認証するというものだ。「パスワードは漏えいするもの」という前提に立たなければいけない今、セキュリティを高めるという手法として知られている。

二要素認証の仕組み

　パスワードリスト型攻撃を防ぎたいのであれば、SMSを使った二要素認証はなるべく搭載しておきたい機能だ。とはいえ、経験のない事業者にとっては「システムにSMSを使った二要素認証機能を追加する」という開発は難易度が高いかもしれない。では、一体どうすれば実現できるのだろうか。

　実はこの悩みを解決しているサービスがある。クラウドサービスやホスティングサービスを提供しているさくらインターネットと、ソフトバンク子会社のBBIXが作り出したベンチャー企業、BBSakura Networks（以下、BBSakura）が提供する「さくらのクラウド　ショートメッセージサービス」（以下、さくらのクラウド　SMS）だ。

BBSakuraが追求した「シンプルさ」　誰でも手軽に使える仕組みとは

　さくらのクラウド　SMSは、BBSakuraが開発し、さくらインターネットが同社のIaaS「さくらのクラウド」をベースに2020年9月から提供している。機能は2つあり、1つは指定した宛先に70文字程度のメッセージを送信できる「メッセージ配信機能」。この機能は法人向けに提供しており、利用したいユーザーはさくらインターネットの審査を通過する必要がある。

さくらのクラウド　SMSが搭載する「二要素認証」機能の操作画面（画面は開発中のもの）

　そしてもう1つが、任意の宛先に6文字の数字を送る「二要素認証」機能だ。メッセージ送信と違い、さくらインターネットのアカウントがあれば個人や企業を問わず、審査を受けることなく誰でも利用できる。SMSはさくらインターネットが提供する管理画面を操作するか、APIを使って送信する。

　このサービスの強みはどんな部分にあるのか。BBSakuraの山口亮介取締役COOは「さくらのクラウド　SMSの特徴はそのシンプルさにある」と話す。

BBSakuraの山口亮介取締役COO

　「誰でも二要素認証を簡単に、シンプルに使えるように作り上げた。仮にエンジニアでなかったとしても、管理画面からSMSをテスト送信し、実際に届くところを確認できる。一方エンジニアであれば、APIを見てもらえばすぐに活用できるようサービスを提供している」

さくらのクラウド　SMSのシステム

　使い勝手だけでなく、料金もシンプルだ。二要素認証機能の価格は従量制で1通につき11円（税込）。最低利用料金はなく、月額基本料金なども発生しないため、手軽に二要素認証を導入し、セキュリティを高められるという。

　とはいえ、SMSを使った二要素認証を提供するサービスはすでにいくつも存在する。そんな中、なぜBBSakuraは新たにシンプルな二要素認証を持つSMS機能を開発したのか。その理由は、BBSakuraという会社を設立した経緯にあった。

BBSakuraが目指す「自由なものづくり」

　「世の中では認証に関わるセキュリティ事故のニュースが毎日のように報じられている。そこにセキュリティ上のリスクがあるのは間違いなく、二要素認証に対するニーズも高い。サービス事業者として、その導入のためのハードルの高さを何とかしたかった」

　山口さんはさくらのクラウド　SMSの二要素認証機能を開発した理由についてこう話す。そもそも、セキュリティに注目したサービスを開発した背景には、BBSakuraが設立した際に打ち出したコンセプトの影響があるという。

BBSakuraの公式サイト

　BBSakuraは、19年8月にBBIXとさくらインターネットが設立した。さくらインターネットが提供してきたクラウドのテクノロジーや開発力、BBIXが培ってきたインターネットエクスチェンジ（プロバイダー同士の接続点）の運用技術、そしてソフトバンクグループとしての知見を基に、分野を問わず“面白いことをソフトウェアで実現しよう”というコンセプトでスタートした。

　メンバーはほとんどがエンジニアだ。それもインターネットインフラを提供する事業者に所属していたエンジニアであるため、セキュリティに関しては特に強い問題意識があったという。そんなとき、在席しているエンジニアたちがサービスとして考えたのが、セキュリティの基本である、SMSを使った二要素認証機能だった。

　とはいえ「やってみよう」という思いだけでサービスを開発するのは難しい。通常は企画やマーケティングなどさまざまな工程を乗り越えて、やっとサービスが完成するという場合が多いだろう。

BBSakuraが掲げるビジョン「世界を変える、Geeks’ PlayGround」

　しかし山口さんによれば、BBSakuraではこういった工程を一足飛びに乗り越えてさくらのクラウド　SMSの二要素認証機能を開発したという。なぜそんなことが可能だったのか。

　その答えは、BBSakuraが掲げる「世界を変える、Geeks’ PlayGround」（ギークスプレイグラウンド）というビジョンにある。これはサービスなどを開発するに当たって、クリエイティビティーや遊び心を大事にしつつ、世界に広く受け入れられる製品を、スピード感を持って作り出そうという考えだ。

　「プレイグラウンド」（遊び場）という言葉を掲げるだけあって、この考え方では、エンジニアをはじめとした社員が自由なものづくりを行うことを推奨している。そのため、さくらのクラウド　SMSの二要素認証機能も、山口さんなどの経営陣が市場調査などを行う前に、社内のエンジニアがシステムを作り始めていたという。

　「われわれが決めた事業計画や本来の業務など、絶対に取り組んでほしいことは当然ある。しかしそれ以外の部分で新しいことに挑戦する場合は、基本的に何をしても大丈夫という決まりにしている。（ビジネスに発展する）可能性があれば、われわれから取り組みを支援することもある」（山口さん）

　もちろん、この考え方はさくらのクラウド　SMSにも生かされている。山口さんは、サービス提供への思いをこう語る。

　「われわれのようなエンジニアの集まりでいきなり何かを作り出そうと思うのであれば、自由さがなければいけない。（さくらのクラウド SMSは）マーケティングや企画などを飛び越えて開発しているため、中には順序立っていないとする声もあるかもしれない。しかし、私たちはそういった壁を飛び越えていくことが、結果として良いサービスの提供につながっていくと信じている」

「セキュリティ」が他社サービスとの違いになる時代

　キャッシュレス決済サービスからの個人情報漏えい事件や、口座振替の連携機能を悪用した不正な預金引き出しなどのセキュリティ事件・事故が世間を騒がせている。利用者側が抱くセキュリティへの関心もこれまでになく高まっており、こうしたインシデントの記者会見でも、サービスが二要素認証を搭載していたかどうかがしきりに問われる時代だ。

　これまでならば、事業者には利用者に一手間もかけさせたくないという意識があったかもしれない。しかし今ではむしろ「このサービスは二要素認証が実装されていない」ことが広まれば、事業者はセキュリティに関する理解が薄いと見なされ、利用者がすぐに同業他社に移ってしまう可能性もある。

　そんな中で二要素認証を手軽に導入できることは、経営者・エンジニアの双方にとってうれしい知らせだろう。これまで、SMSを使った二要素認証の導入にハードルを感じていたという人や企業は、この機会にさくらのクラウド　SMSの利用を検討してみてはいかがだろうか。

　「さくらのクラウド　SMSの二要素認証は審査もなく、1通から送信可能で安価に始められる。導入の難易度についても、エンジニアであればAPIを見てもらえればすぐにでも実装できるレベルなので、まずは一度触ってみてほしい」（山口さん）

さくらのユーザーフィードバックβ

　さくらインターネットでは利用者の声を直接聞く専用サイト「さくらのユーザーフィードバックβ」で「さくらのクラウド　SMSにこんな機能が欲しい、ここを改善して欲しい」という利用者の意見を集めている。このサイトに集まった情報は新たな機能を検討する際の参考になるため、山口さんは「さくらのクラウド　SMSをよりよいサービスにしていきたいので、期待することがあれば気軽に投稿してほしい」と呼び掛けている。