なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか(3/3 ページ)
セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。
具体的には、企画段階からセキュリティを意識して設計し、機能追加などがある場合には守るべき資産価値が変動することを踏まえて対象を分析すること。そして診断対象を選定する際には、「絶対に守らないといけないところ」は外さないようにします。
認証機能の強化もポイントで、できれば「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせた多要素認証を採用すべきといいます。ユーザーになるべく不便を強いたくない場合は、いつもと違う状況の時だけ、追加で多要素認証を実施するリスクベース認証という手もあるでしょう。
他にも、ログの記録、ログイン失敗および成功の記録、複数回ログインに失敗した際のアカウントロック機構の実装といった対策が挙げられるといいます。ログインの頻度にもよりますが、失敗したときだけでなく、成功したときも記録することで早い段階で被害に気付けますし、万一なりすましでログインされたとき、追跡や被害を特定する手段になり得ます。
また、あまり深くは立ち入りませんでしたが、ユーザーが「面倒だな」と思うあまり簡単なパスワードを設定しないよう、繰り返しパスワードを求めるようなユーザーインタフェースは避けるといった具合に、デザイン面からも考慮すべき事柄があるとしました。
「たった1つの冴えたやり方はない。基本的で地道な対策を積み重ねていくしかなく、いろいろ組み合わせていくことで攻撃者のコストは上がる」とはせがわ氏。急がば回れではないですが、確実に積み重ねていくことが大切だと考えさせられました。
関連記事
- 急増する不正ログイン、対策のカギは「正しく怖がる」こと
不正ログインの被害が日本社会を揺るがしている。過去1年あまりで報道された大きな被害だけでも10件を超えた。不正ログイン事件の裏側を考察し、起こり得る犯罪と回避策の有効性を検証したい。 - 「認証の回数が多いほど安全」は間違い? 二要素認証のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは「二要素認証」。 - 二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。 - 強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ
私たちにとって身近になってきた「認証」の話。今さら聞けない認証の基本を、認証サービスを提供するパスロジ担当者が解説します。今回のテーマは知識認証の代表格である「パスワード」のハナシ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.