今再び、認証を考える ~社会的欲求がセキュリティに変化をもたらす~ (EMCジャパン株式会社 RSA事業部) | ScanNetSecurity
2023.09.30(土)

今再び、認証を考える ~社会的欲求がセキュリティに変化をもたらす~ (EMCジャパン株式会社 RSA事業部)

セキュリティマネジメントで重要なのは、新しい脅威や攻撃手法の変化に対して新しい対策技術や運用ポリシーなどを適用していく改善サイクルにあるとも言われている。

特集 特集
EMCジャパン株式会社 RSA事業本部 マーケティング部 部長 水村明博氏
EMCジャパン株式会社 RSA事業本部 マーケティング部 部長 水村明博氏 全 2 枚 拡大写真
セキュリティマネジメントで重要なのは、新しい脅威や攻撃手法の変化に対して新しい対策技術や運用ポリシーなどを適用していく改善サイクルにあるとも言われている。

改善サイクルを動かすのは攻撃者側の変化だけではない。社会の変化、法改正、もっと直接的にはビジネス環境の変化によっても新しい対策を考えなければならないことがある。

このように語るのは、EMCジャパン株式会社 RSA事業本部 マーケティング部 部長の水村明博氏だ。水村氏は「パスワードリスト攻撃などが増えており、その対策が叫ばれていますが、脅威に備えるだけがセキュリティではありません。セキュリティは業務スタイルやプロセスの変化など、その時代の社会に合わせて変化するものであり、企業におけるセキュリティ対策は、従業員が働くうえでの利便性を高める意味でも重要です」と語る。

RSA事業本部提供資料
「あなたも狙われている ~効果的な認証で身を守る~」
https://archives.netsecurity.ne.jp/a.p/121/

●時間・場所を選ばない社会的要求

近年でいえば、クラウドコンピューティングやモバイルデバイスの普及がコンピューティングだけでなく、さまざまな業界のワークスタイルも変えようとしている。例えば、少子高齢化に端を発する人口減少・介護の問題から、オフィスにとらわれないワークスタイルが注目されている。産休や育児休暇を取りやすくしたり復職しやすくしたりするため、在宅での作業を広げる動きがある。「ブローバンド環境やモバイルネットワークの整備が、リモートオフィスや外出先からの作業を後押ししています。タブレットやスマートフォンの業務利用が進んでいることも、これらの社会的欲求が追い風となっているのではないでしょうか」と水村氏は分析する。

また、ワークライフバランスといった考え方からは、裁量労働の幅を広げる(ホワイトカラーエクゼンプション)といった動きもある。フレックスタイムのような柔軟な勤務時間体系は、自宅や出先でも業務ができるかどうかも、その成否や効率に関わる。また、震災をきっかけに、DR(ディザスタリカバリ)、BCP(事業継続計画)のために、クラウドやモバイルネットワークの活用は必須だと考える企業が増えた。

●リモートオフィス・モバイル活用を支えるアクセスセキュリティ

在宅勤務やリモートオフィスのような業務スタイルをセキュリティ視点で見た場合、重要なのはアクセスセキュリティだ。ノートPC、タブレット、スマートフォンなどは接続場所やネットワークが固定ではないため、接続先、接続元、経路が適切であるかどうか判断する必要がある。具体的には、会社のPCやイントラネットを前提としていたセキュリティから、個人所有端末や喫茶店のWi-Fi環境からのアクセスまでを考えたセキュリティへの変換だ。

リモートアクセスのセキュリティでは、まず認証強化が対策の第一歩となる。その基本はIDとパスワードの管理だ。技術的にはパスワードの強度を上げるため、短いパスワード、アルファベットのみの単純なパスワードの登録を認めないような施策がある。有効期限を設定し、強制的にパスワードを変更させるという方法もある。パスワードリスト攻撃対策のため、同じパスワードを使いまわすことを避けるという運用を勧められることもある。

他にもワンタイムパスワード、電子証明書、マトリクス認証、バイオメトリクス認証などの技術的な対策もある。ワンタイムパスワードには、ハードウェアトークンを使うものが一般的だが、最近では携帯電話やスマートフォンなどにキーを送信するソフトウェアトークンのワンタイムパスワードの利用も広がっている。

さらに高度な認証として、リスクベース認証にも注目が集まっている。リスクベース認証では、ログイン操作のコンテキスト、シチュエーションを判断し、いつもと違う端末からのログイン、不自然な時間やタイミングでのログイン、機械的なログイン操作などは、たとえパスワードが一致しても追加認証(PINコード、秘密の質問など)を要求する。

●ユーザーの意識と行動のギャップ

アクセス認証の対策さえすれば、クラウド時代、モバイル時代のセキュリティは万全かというと、決してそんなことはない。水村氏も「リモート環境では、アクセス認証が業務やセキュリティ対策の起点となりますが、全体的な対策として、ファイアウォール・IPS/IDSのような入口対策、モニタリングやログ解析など完全性や信頼性の監視など、レイヤごとの対策なくしてセキュリティはありません」と釘を刺す。

続けて、ユーザー側にも、セキュリティ対する意識と現実の「ギャップ」を認識してほしいという。

一般的にモバイル前提のシステムでは、サーバーやクラウド側に情報が集約され端末はシンクライアント化するので、セキュリティはむしろ強化されると考えられる。間違いではないが、そこに落とし穴があると水村氏は言う。「ユーザーが端末を紛失したり、盗難されてもデータはクラウドにあるから大丈夫と考えがちですが、攻撃者にとって端末を盗むより、リモートでサーバーを攻撃する方が簡単な場合もあるのです」というのだ。

また、フィッシングサイトに気づかず情報を入力してしまったり、端末にトロイの木馬などのマルウェアの侵入を許してしまったりした場合、IDやパスワードが流出してしまう。フィッシングサイトでは、本人がパスワードを入力してしまうので技術的な対策には限界がある。スマートフォンなどは、自分でアプリをダウンロード、インストールしなければマルウェアに情報を盗まれることはないが、これも正規アプリや安全なアプリと騙されていれば、マルウェアの実行を止めることは難しい。スマートフォンやタブレットのセキュリティ対策において、利用者の意識や注意がいかに重要かということだ。

EMCが行った調査(プライバシーインデックス)では、多くのユーザーが政府や企業のサービスを信用していないにもかかわらず、SNSなどのサービスを利用しているという実態が浮かび上がっている。このようなギャップを解消するには、政府や企業には、安心してサービスを利用してもらうような取り組みも必要だが、ユーザー側もセキュリティ意識の持ち方を考えるべきだろう。

RSA事業本部提供資料
「Frost & Sullivan あなたも狙われている ~効果的な認証で身を守る~」
https://archives.netsecurity.ne.jp/a.p/121/

《中尾 真二》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」

    仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」

  2. IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加

    IPA 基準適合サービスリスト 脆弱性診断サービス 7 社追加

  3. JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に

    JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に

  4. NHK放送センターに不正アクセス、従業者等個人情報漏えいの可能性を完全に否定することは難しい

    NHK放送センターに不正アクセス、従業者等個人情報漏えいの可能性を完全に否定することは難しい

  5. NICTの業務委託先 TBSグロウディアでノートPC紛失

    NICTの業務委託先 TBSグロウディアでノートPC紛失

  6. メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡

    メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡

  7. NECと高専機構 “セキュ女子” が交流、CTF体験など実施

    NECと高専機構 “セキュ女子” が交流、CTF体験など実施

  8. 今日もどこかで情報漏えい 第16回「2023年8月の情報漏えい」クレディセゾン 誰一人取り残さない対応

    今日もどこかで情報漏えい 第16回「2023年8月の情報漏えい」クレディセゾン 誰一人取り残さない対応

  9. 安全神話は本当か トレンドマイクロ「Linux 脅威レポート」

    安全神話は本当か トレンドマイクロ「Linux 脅威レポート」

  10. SB C&S運営の事業者向けECサイト「Mobile Solution Market」に不正アクセス

    SB C&S運営の事業者向けECサイト「Mobile Solution Market」に不正アクセス

ランキングをもっと見る