企業内における業務システムをはじめ、スマートフォン上でのアプリ、オンラインバンキングなど日常生活の中でもウェブサービスは広く浸透し、もはや必需品となっている。一方で、そうしたウェブサービスや端末へのログインに必要となるパスワードはユーザーが「なんとなく」設定していることも多い。しかし、パスワード管理を「なんとなく」設定することは、深刻なセキュリティインシデントにつながりかねないことを理解しているユーザーは、残念ながらまだまだ少ないのが実情だ。本記事では、パスワード管理の重要性とともに、近年増加傾向にある二段階認証とその有効性について解説する。
パスワードの利便性確保には適切な管理が重要
自分がどれだけのウェブサービスを利用し、どのくらいパスワードを管理しているのか。即座に回答を求められても答えに窮する人がほとんどだろう。パソコンやスマートフォンが普及し、利用するウェブサービスが増えるほど、パスワードの数も増加していく。パソコンやスマートフォンの立ち上げ・ロック解除、業務システム、メールの利用、Wi-Fiへのアクセス、そのすべてにはパスワードが要求される。仕事から一歩離れたプライベートでも、SNSやオンラインバンキング、ショッピングアプリを利用する際にパスワードが求められ、パスワードを入力しない日はないといっても過言ではない。
認証方式でこれだけパスワードが普及している理由、それは開発側の理由によるところが大きい。パスワードによる認証方式は、システムを提供するサーバー側に特別な仕組みを導入することなく実装できる。そして、ユーザーもパスワード認証は手間がかからないというメリットがある。一方、ICカードや指紋認証といった認証方式であれば、読み取り装置が必要になるなど、コスト面がネックとなってしまう。
パスワードは、「適切に」管理・運用すればセキュリティ強度も決して低くはない。簡単にセキュリティ強度を確保できるのが、パスワードによる認証方式がユーザーに支持された理由といえるだろう。しかし、あくまで「適切に」パスワードが運用されていればの話である。ずさんなパスワード管理はいとも簡単にセキュリティインシデントを引き起こす。実際にずさんなパスワード管理が原因で生じたセキュリティインシデントは少なくない。
パスワードによる認証が抱える問題点
パスワードによる認証方式の問題点をもう少し詳しくみていこう。パスワードの問題点として筆頭に挙げられるのが、パスワードの漏えいだ。パスワードのセキュリティ強度は複雑にすればするほど高まる。できる限り長く、そして大文字・小文字・記号・数字といった複数要素を組み合わせることが望ましいとされる。数字だけで短く、かつ誕生日など推測可能なものをパスワードに設定することは危険極まりない。加えて、設定したパスワードを紙に書いて残すなど、人目に触れて漏えいする可能性がある行為も、当然ながら避けるべきだ。
パスワードを巡る問題では、複数のシステムに同じパスワード設定する、使い回しの問題も指摘されている。複雑で攻撃者に推測されにくいパスワードを設定するだけでなく、複数のシステムで使い回すことなく、それぞれ異なるパスワードに設定しなくてはならない。しかし、これではパスワードの数が増えるほど、ユーザーの負担は増大し、適切な管理が難しくなる。それでは、そのほかの認証方式ではどうだろうか。順に見ていくことにしよう。
パスワード以外の認証方式の特徴
パスワードによる認証は、Something You Knowの頭文字をとって「SYK方式」や「記憶情報方式」と呼ばれることがある。普及が進む一方で問題点も指摘されているこの方式以外に、以下のようなものがある。
バイオメトリクス認証(指紋認証、顔認証、虹彩認証)
ユーザー本人の身体的な特徴で認証する方式で、生体認証とも呼ばれる。また、Something You Areの頭文字を取って「SYA方式」や「生体情報方式」と類別される場合もある。なりすましが難しく、情報漏えいも生じづらい方式であるとされている。しかし、生体情報読み取りのためのカメラやスキャナーなどの初期投資が必要なうえ、誤認識の問題などもあって、当初はデータセンターなど一部にしか普及が進まなかった。
しかし、今日ではスマートフォンやパソコンなどの端末に生体認証機能が標準で搭載され、認識率も飛躍的に向上しつつある。この状況を受け、Android、iOS端末の指紋認証・顔認証、Windows端末の「Windows Hello」など、生体認証機能を標準機能として組み込むようになっている。すばやく、簡単に、パスワード入力も不要という点でも、ユーザーから支持されており、着実に普及が進んでいる。
ワンタイムパスワード
有効期限付きの一度限りのパスワードで認証する方式。このため、たとえそのパスワードが漏えいしても、次にアクセスする際には無効となっているので、一般的なパスワード方式よりもセキュリティ強度は高い。一般的には、ハードウェアトークンに記載されたワンタイムパスワードを使って認証するので、「所持情報方式」といわれる。所持情報方式は、Something You Haveつまり「SYH方式」とも呼ばれる。銀行のオンラインバンキングなどでは、従来型のパスワード認証に加えて、ワンタイムパスワードが求められることが一般的となっている。
ワンタイムパスワード方式は、認証ゲートウェイの設置やハードウェアトークンの配布など、システム提供側のコスト負担が大きい。このため、パスワード以上の認証強度を持ちながら、広く普及しているとはいい難かった。しかし、生成部分をハードウェアトークンの代用としてソフトウェアトークンを用いることで初期コストの軽減が図れるようになり、最近のセキュリティ強化の流れもあって、著名なウェブサービスなどで導入が相次いでいる。
ICカード、物理的なドングル
ICカード、物理的なドングル*1などを使う認証方式で、「所持情報方式」の代表的な認証方式のひとつである。パスワード入力の手間は不要で、なりすましなどを排除できるメリットもあるが、代わりに紛失や盗難といった別のセキュリティリスクが残り、ユーザー側に管理・運用負荷が生じる。また、システム提供側もカードやドングルの購入まで含めると、構築費用も多額となる。さらにICカードとなると、ユーザー側にカードリーダーの設置が必要となるため、現実的にはほとんど普及していない。国内では、マイナンバーカードを使ったe-Taxによる申告手続きが普及例として挙げられるぐらいだ。
*1 コンピュータに接続する小さなハードウェア、装置。USBポートに挿すものを指すことが多い。
シングルサインオン
ここまで挙げた認証方式以外に、シングルサインオンも近しいものとして分類できるだろう。シングルサインオンには大別するとふたつある。ひとつは、ウェブサービスにおいて広く浸透しているOpenID、OAuthなどを用いるもの。これは、ひとつのIDとパスワードで複数のウェブサービスへのログインを可能とする。GoogleやFacebook、国内だとYahoo! JapanのIDとパスワードでログインできるウェブサービスが多い。そしてもうひとつは、SAML(Security Assertion Markup Language)を利用したもの。こちらは企業内で複数の業務システムに1回の認証だけでログインすることを可能にする。
シングルサインオンの採用で、ひとつのIDとパスワードだけで多くのウェブサービス、業務システムを利用できるのはユーザーにとって大きなメリットに違いない。その利便性の一方、脆弱性が生じやすいことには注意を払うべきだろう。パスワードの管理・運用を強固にすることで一定の強度は確保されるが、できれば後述する二段階認証を組み合わせて利用することが望ましい。
認証強度を高める二段階認証とは
認証強度を高めるために、段階的に二度の認証を求めることを二段階認証という。一般的には、認証強度を高めるために一回目と二回目の認証方式を変えることが多い(一回目と二回目の認証方式を変えることを二要素認証と呼ぶこともある)。
多くの場合、一回目の認証方式に一般的なパスワード方式を採用し、二回目の認証方式にはワンタイムパスワード方式などを採用する。「記憶情報(SYK)方式」と「所持情報方式(SYH)方式」を組み合わせることで、確実に本人であるという信頼性を高められるというわけだ。仮にパスワードが漏えいした場合でも、二段階目の認証をクリアできないため、安全性は確保される。パスワードに加えてもう一つの認証手段を提供するコストはかかるが、二段階認証のセキュリティ強度は高いと考えてよいだろう。
近年のスマートフォン利用の拡大が二段階認証の普及における大きな原動力となった。それまでは専用のスキャナーが必要で導入が難しかった指紋認証も、最近のスマートフォンであれば多くの機種でそのまま対応が可能だ。またスマートフォンは、ユーザーが肌身離さず保持しているため、「所持情報(SYH)」としての性質を持つ。このため、「記憶情報(SYK)方式」としての性質を持つパスワード認証方式と組み合わせて二段階認証を実現しやすいのだ。実際に、スマートフォンにメールやSMSメッセージ経由でコードを送信し、認証画面に表示させる方法を用いた二段階認証も普及してきており、すでに利用している人も少なくないだろう。
今後の認証方式
最近まで認証方法といえば、パスワードによる認証方式がほとんどで、他の認証方式は一般のユーザーにとって馴染みのないものであった。ウェブサービス・システムの利用者も提供側もパスワードの持つ脆弱性に気づきつつも、その利便性がゆえにこれまでパスワードのみの利用にとどめてきたのだ。
しかし、スマートフォンなどの端末に指紋認証や顔認証の機能が付属したことや、AIによる生体情報の認識率向上を背景に、今後は生体情報を用いたSYA方式がこれまで以上に認証方式として普及する可能性が出てきている。また、スマートフォンの普及などを背景に、今後は二段階認証の導入も拡大していくことが確実視されている。
一方で、パスワードレス認証方式の標準化の動きも進んでいる。2019年3月4日、W3CやFIDOアライアンスによる、公開鍵暗号方式を利用した認証方法「WebAuthn(Web Authentication API)」がウェブ標準となることが発表された。すでにChromeやFirefox、Edge、Safariなど主要ブラウザーにてサポートされており、今後の動向に期待が集まっている。
いずれにせよ、広く普及して一般化してしまったパスワードの問題点には改めて目を向け、適切な対策をとっていく必要がある。ユーザーとしては引き続き厳格なパスワード管理を維持しつつ、新しい技術をキャッチアップし続けることが求められている。
※本記事はキヤノンマーケティングジャパンのオウンドメディア「マルウェア情報局」から提供を受けております。著作権は同社に帰属します。
セキュリティ最前線
サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。
[PR]提供:キヤノンマーケティングジャパン