ECサイト構築プラットフォーム「futureshop」がセキュリティ強化を予定を前倒して実装、秋には多要素認証も計画
本事例のようなサービス提供側に直接の責任がない不正アクセス事案をきっかけに、事故発生前に前倒しにさまざまなセキュリティ対策を実施する事例は、攻めのセキュリティ投資でありDX推進の事例とも捉えることができるだろう。
製品・サービス・業界動向
新製品・新サービス
これらの前倒し対応及び多要素認証実装計画のきっかけとなったのは、4月20日に発生した「futureshop」ユーザーにおいて発生した、悪意ある第三者による管理者アカウントへの不正ログインだった。なお、futureshopシステムに当該不正ログインの原因となる脆弱性は存在せず、原因はユーザーの管理者アカウントの漏えいであった。
Webセキュリティの国際検証基準「OWASP ASVS 4.0」などでは以前から認証に関して、ブルートフォースアタックを防ぐレート制限などと併せて、多要素認証とリスクベース認証が推奨されており、IDとパスワードのみの認証は、もはや主流ではないどころか、はなはだ頼りない手段になりつつある。
しかし、サービス提供事業者側のコスト負担が嫌われる、あるいはユーザー側がセキュリティ機能よりもまずは料金の安さを求めるなどの実状もあり、多要素認証を採用しているのは、都銀などの金融機関やLINEやGoogleなどのプラットフォーマー等にまだまだ限られているのが現状だ。そしてひとたび事故が発生すると「ユーザーの自己責任」。これが現在大半のサービス提供事業者がとる、あるいはとらざるをえない管理方法だ。
一方で、本事例のようなサービス提供事業者も存在する。サービス提供側に直接の責任がない不正アクセス事案をきっかけに、事故が発生する前に前倒して、さまざまなセキュリティ対策を実施する事例は、攻めのセキュリティ投資の好例であり、DX推進の事例のひとつとも捉えることができるだろう。
《ScanNetSecurity》