「アカウントは漏洩している前提で備えるべき」～ソリトンシステムズが提案する「Soliton OneGate」とは

　「災い転じて」ではないが、さまざまな講演やイベントがオンライン化され、配信され、かつ講演動画が積極的にアーカイブされ公開されるようになったのは、with コロナ時代の肯定的な側面のひとつかもしれない。

　以前はわざわざ都心まで足を運ぶ必要があった高品質なカンファレンスや講演が、全国どこからでもパソコンやスマホを通じて視聴することができる。大きな講演会場の中で挙手して行っていた質疑応答も、オンラインカンファレンスツールのチャット機能を用いてできるケースも増えた。

　日本を代表するセキュリティカンファレンスのひとつである Security Days が今春、「Security Days Spring 2021」として開催される。本稿では ScanNetSecurity 読者に特におすすめしたい講演を、5 つ厳選して紹介する。

　「Security Days Spring 2021 講演 5 選」で今回紹介するのは、株式会社ソリトンシステムズ佐野誠治氏の講演「オフィスWi-Fiからクラウドアプリ利用まで、狙われている認証情報～アカウントは漏洩している前提で考える～」だ。

　“ コンピュータウイルスの感染を全て防ぐことはできない。もはや「感染を前提とした」多層防御と感染後のダメージを減らす運用管理が必要だ。” IPA がこんな趣旨のメッセージを発したのは、2015 年のことだった。

　同様に「社員のアカウントがサイバー空間に漏洩している前提」での対策が必要であると語るのが、ソリトンシステムズのプロダクト＆サービス統括本部・部長の佐野氏だ。

　同社はソリトンサイバー空間アナリティクス（ Soliton CSA ）を用いた「漏洩アカウント被害調査サービス」を提供、これまで 1,500 件以上の企業・団体の被害調査を行ってきた。

　同サービスは、世界中で起きているハッキング事件によってサイバー空間に漏洩したデータを調査し、その中から、知らないうちに漏洩してしまった自組織のアカウント情報(電子メールと ID、パスワード等)の被害状況を調査し報告するサービスだ。2021 年 2 月現在、914 を超える世界の漏洩事件から、合計 222 億レコードを超える漏洩アカウント情報が特定されており、日本の属性を示す「 .jp 」アカウントだけで約 3 億 7,818 万レコードが特定されているという。

　調査全体のうち、実に 99.7 %の企業・団体で、従業員のパスワードを含むアカウント漏えいが確認されているという状況には驚かされる。安全だった 0.3 ％の側に入る自信を持つ管理者は多くないだろう。

　そこで注目されるのが多要素認証であるが、佐野氏によれば、ワンタイムパスワードや SMS 認証はフィッシングにより認証情報を詐取する攻撃が確立されており、企業システムにこれを用いるには注意が必要だという。クラウドサービスなど、ログイン画面に誰でもアクセスできる環境であれば、その企業がどのような認証方式を採用しているか攻撃者にも知らせることになってしまい、フィッシングを仕掛けることも容易となってしまうためだ。

　オフィスワーカーとテレワーカーが混在する新常態において、求められる認証の根本対策とはー？

　佐野氏は講演で、オフィス Wi-Fi や VPN、多種多様な社内システムやクラウドサービスなど、テレワーク以降混沌としているビジネス環境を、すっきりと整理し情報資産を保護する「 Soliton OneGate（ソリトンワンゲート）」を紹介する。

　現在、ID とパスワードだけで業務システムを運用している企業や、Wi-Fi や VPN、あるいは社内システムやクラウドサービス等の運用で、何らかのセキュリティの課題、認証関連の課題を感じている担当者が講演を聞けば、まずは現在の課題を整理することができるだろう。そして佐野氏の提案が、その課題を解決するきっかけになるかもしれない。

●3月4日(木) 13:35-14:15
「オフィスWi-Fiからクラウドアプリ利用まで、狙われている認証情報～アカウントは漏洩している前提で考える～」
株式会社ソリトンシステムズ
プロダクト＆サービス統括本部・部長
佐野誠治氏