どれだけ注意してもなくならないパスワードのメモ書き。企業のIT担当者にとって、社員のパスワード管理は常に頭を悩ませる大きな問題だ。そして、このようなずさんなパスワード管理は、IT担当者の負担を増やすだけではなく、重大なセキュリティインシデントを引き起こす要因ともなりかねない。このような問題を解決する方法、それは「ユーザーにパスワードを使わせないこと」である。
本記事では、ヒューマンテクノロジーズ セキュリティソリューション事業部 マネージャーの谷口圭一氏に、同社が提供するPC認証強化システム「DigitalPersona (デジタルペルソナ)」の実力と可能性についてお話を伺ったので、その内容を紹介する。
不正アクセスの99%以上がパスワードの流出によって発生
本題に入る前に、まずは現在のセキュリティ事情について簡単に紹介しよう。2016年(平成28年)3月に警察庁が発表した「平成27年における不正アクセス行為の発生状況等の公表について」によると、2015年に認知した不正アクセスの件数は2,051件であり、そのうち不正アクセス行為として検挙された件数は332件とされている。なお、検挙された件数を手口別にみると、「識別符号窃用型」が331件、「セキュリティ・ホール攻撃型」が1件となっている。ここで言われる「識別符号窃用型」とは、他人のパスワードを入手して不正アクセスを行う行為のこと。つまり、不正アクセスのほとんどはパスワードの流出によるものなのだ。
もっとも効果的な対策は「パスワードを使わせないこと」
このような現状があるにもかかわらず、パスワードを記したメモをPCに貼り付けたり、さらにはそれを紛失したりというケースは跡を絶たない。なぜ、このような行為がなくならないのか。それは、一言でいえば「パスワードを忘れてしまう不安があるから」だろう。特に近年は、セキュリティ効果を高めるためにIT部門が発行するパスワードは、長く複雑なものとなっており、記憶することが困難になっている。これでは、パスワードのメモ書きを撲滅するのは、現実問題として難しい。
こうした問題について谷口氏は、「いっそのことパスワードを使わなくてもユーザー認証ができるシステムにしてしまえば、『メモ書き』や『キーロガー』などによるパスワード流出を防ぐことができます。それを実現するシステムが、PC認証強化システムのデジタルペルソナです」と語る。
ニーズに合わせて対応可能な各種認証デバイス
デジタルペルソナには、さまざまな認証手段が搭載されている。近年、急速に普及しつつある指紋認証や社員証などを利用したICカード認証、ワンタイムパスワード認証、指定された機器(たとえば貸与されたスマートフォンなど)による認証などを、状況に合わせて選択することができる。
ちなみに、指紋認証はPCに搭載された指紋リーダーを利用することも可能だ。もし、指紋リーダーが搭載されていない場合には専用の「高精度指紋リーダー」もある。これらの認証方法を組み合わせれば、パスワードを使用しなくてもセキュアな認証環境が実現できる。となれば、ユーザーがパスワードを覚える必要がなくなり、必然的にパスワードのメモ書きもなくなるはずだ。
なお、これらの認証手段はWindowsへのログオンはもちろん、ほとんどのアプリケーションへのログオンに対しても使用できるのが特徴だ。
米国国防総省が認めた実力
デジタルペルソナは全世界に2,500万人以上のユーザーを持つ。その中には、米国国防総省や国内の中央省庁、そして金融企業など、強固なセキュリティを求められる企業・団体が名を連ねている。このように多くの企業で高い評価を受けている要因としては、強固なセキュリティ能力はもちろんのこと、運用における自由度の高さが考えられる。
「対象ユーザーの状況に応じて、指定の認証手段を自動的に切り替えるといった柔軟な運用も可能です。たとえば、社内で使用する場合は指紋認証のみでログインさせ、社外でログインするような、よりセキュアな認証をさせたい場面では、指紋とスマートフォン等の機器による二要素認証を必須にする、といったことができます」(谷口氏)
Active Directoryとの高い親和性
「デジタルペルソナは、Active Directoryとの親和性も高く、簡単かつ短期間に導入が可能です。我々SIerとしてもお客様に提案がしやすく、大きな可能性を感じています」と語るのは、ヒューマンテクノロジーズとパートナー契約を結ぶアイ・ユー・ケイ 営業本部 首都圏営業事業部 第一営業部の鍛冶龍哉氏である。
デジタルペルソナでは、Active Directoryでのグループポリシーなどの各種設定、認証データやログ管理といった便利かつセキュアな中央管理機能を提供する「Active Directory完全統合版」と、Active Directoryのスキーマ拡張が不要で、ドメインユーザー以外にも利用可能となる「AD LDS(AD ライトウェイト・ディレクトリ・サービス)版」の2タイプからサーバーソフトウェアを選ぶことができる。
たとえば、Active Directory上の管理設定によって効率的に使用したい場合は完全統合版を、社内方針や運用ルールによりActive Directoryそのものを変更したくない場合はAD LDS版を選択できる。
Active Directory完全統合版の構成イメージ |
AD LDS版の構成イメージ |
現在は、英文字8桁のパスワードであれば、一般的な家庭用PCでも1分程度で解析ができてしまう時代である。もはや、パスワード認証だけでシステムを守りきるのは、ほぼ不可能だ。となれば、そろそろ生体認証やICカード認証など、パスワードに頼らない認証方法を本気で検討すべき時期に来ている、そう言ってしまってもいいのではないだろうか。
(マイナビニュース広告企画:提供 アイ・ユー・ケイ)
[PR]提供: