なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか（3/3 ページ）

セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。

[高橋睦美，ITmedia]

　具体的には、企画段階からセキュリティを意識して設計し、機能追加などがある場合には守るべき資産価値が変動することを踏まえて対象を分析すること。そして診断対象を選定する際には、「絶対に守らないといけないところ」は外さないようにします。

　認証機能の強化もポイントで、できれば「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせた多要素認証を採用すべきといいます。ユーザーになるべく不便を強いたくない場合は、いつもと違う状況の時だけ、追加で多要素認証を実施するリスクベース認証という手もあるでしょう。

　他にも、ログの記録、ログイン失敗および成功の記録、複数回ログインに失敗した際のアカウントロック機構の実装といった対策が挙げられるといいます。ログインの頻度にもよりますが、失敗したときだけでなく、成功したときも記録することで早い段階で被害に気付けますし、万一なりすましでログインされたとき、追跡や被害を特定する手段になり得ます。

　また、あまり深くは立ち入りませんでしたが、ユーザーが「面倒だな」と思うあまり簡単なパスワードを設定しないよう、繰り返しパスワードを求めるようなユーザーインタフェースは避けるといった具合に、デザイン面からも考慮すべき事柄があるとしました。

　「たった1つの冴えたやり方はない。基本的で地道な対策を積み重ねていくしかなく、いろいろ組み合わせていくことで攻撃者のコストは上がる」とはせがわ氏。急がば回れではないですが、確実に積み重ねていくことが大切だと考えさせられました。