[ITセキュリティ管理者必見] パスワード漏洩による被害について理解する
企業のITセキュリティ担当者の仕事は増える一方です。ウイルス感染対策、不正アクセス対策、セキュリティパッチの適用、そして2017年5月に特に話題となったランサムウェア対策など多岐に渡ります。そして、このITセキュリティ対策の一つに「パスワード管理」があります。今回は、このパスワード管理を適切に行わなかったため、パスワードが漏洩した事例、そしてパスワード漏洩によりどのような被害が生じたかについてご紹介いたします。
パスワード管理の必要性について改めて理解する
「誰でもアクセスできる」というインターネットの性質上、悪意を持つ第三者によって、アカウントに不正にアクセスされる可能性を完全に排除することはできません。しかしながら、「完璧なセキュリティ対策」を施そうとすると、ユーザーの利便性を損ねることになり、結果として企業の営業活動が抑制されます(例えば「会社のパソコンでしかメールを見られない」などの制限です)。よって、多くの組織では、「セキュリティの高さ」と「ユーザーの利便性」のバランスをとったセキュリティ対策を行っています。
2000年代には、「IDとパスワード」に加えて「ICチップやトークンなど物理デバイスを組み合わせた二段階認証」が流行しましたが、スマートフォンが普及してビジネスで利用されるにつれて、スマートフォンと物理デバイスを組み合わせることが難しい(利便性を損ねる)ことから、多くの組織・サービスでは物理デバイスへの依存を減らしています。
このため、現在ではSMSやQRコードなど、物理デバイス以外を利用した二段階認証が増加していますが、二段階認証においてもIDパスワードの入力は必須です。このように、パスワードは最も古典的かつ、利便性が高い、最重要の認証の仕組みだといって過言ではありません。
多くの組織では、自社でパスワードの強度を設定できるシステムについては細かく設定しています。例えば、Active Directoryであれば「パスワードのポリシー」という設定項目があり、「パスワードの長さ」「変更禁止期間」「有効期間」「パスワード履歴の記録」「複雑性要件」などの項目を満たすパスワードの設定をユーザーに課すことが可能です。かつてのように「自社のITインフラは、全て自社で運営するサーバーで成り立っており、外部へのアクセスが必要ない」という状況では、こうした仕組みもうまく作用していました。
しかしながら、現在では企業におけるクラウドサービスの利用が一般的となっており、「自社内だけで閉じたシステムでパスワード認証・シングルサインオンすれば事足りる」時代はとうに過ぎています。そうなると、自社で管理できないクラウドサービスなどのパスワード管理については、ユーザーがパスワードポリシーに沿ったパスワードを設定したかどうかを情報システム部門で確認できない、という状態になります(情報システム部門ができるのは、『各ユーザーに対して、自社のパスワードポリシーに沿ったパスワード設定をお願いすること』のみです)。このように、情報システム部門のITセキュリティ責任者が管理できない「グレーゾーン」が生じることが、脆弱性となります。
無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら
パスワード漏洩・データ流出による被害
では、パスワード漏洩、またはパスワード漏洩を疑われる事件によりどのような被害が生じているかについて、いくつかの事例を紹介いたします。
パスワード漏洩から派生して起こる情報漏洩による被害は、「数百億円を超える金銭的な被害」「会社のブランドの棄損」「株価への影響」「住所など情報漏洩による安全面の不安」そして「情報漏洩を苦に自殺・人命の損失」といった大きな影響があります。また、Amazon.co.jpのように、「EC販売プラットフォーム」というビジネスそのものの信頼性が大きく損なわれる事態も起こっています(この事件は、2017年6月時点でまだ継続しています)。
日本国内では、2004年のYahoo! BB顧客情報漏洩事件にて、「個人情報を漏洩させたらお詫びとして、1ユーザーあたり500円を支払う(お詫び金)」という慣習ができています。2004年のYahoo! BB事件では100億円以上の被害、そして2014年のベネッセ個人情報流出事件では3504万件の情報漏洩に対して1件500円、合計で170億円以上の被害が生じています。Yahoo! BB事件も、ベネッセ事件も、内部のデータ持ち去りによる犯行でしたが、内部犯であろうが、外部からの攻撃によるパスワード漏洩であろうが、同等の費用負担が必要となります。
そして、事件による影響は「お詫び金」だけにとどまりません。ベネッセはこの事件によりブランドイメージの低下、DMなど一部営業ツールの取りやめ、定期購読教材の解約率の上昇により、経営危機に至っています。パスワード漏洩は、単なる「セキュリティ事故」ではなく、「会社の危機を招く事故」です。この認識を、情報セキュリティ責任者のみならず、経営者も持つ必要があります。
あらゆるパスワードを一元管理する仕組みが必要
現在はID・パスワードによる認証が主流であるため、「単純なパスワードは使わない」「パスワードの使い回しをしない」といった管理が重要になります。しかしながら、現状では個々人の努力に依存したパスワード管理をしている企業が多く、十分な対策がされているとは言えない状況です。
今求められているのは、「社内システムとクラウドサービスの両方のID・パスワード」を、「企業の情報システム部門が主体となり一元管理する仕組み」の構築です。そして、こうしたニーズを満たし、シングルサインオン、ログ管理、レポート出力まで対応しているのが、1アカウントから無料で利用することができる企業向けIDaaS (クラウド型ID管理サービス)「トラスト・ログイン(旧 SKUID)(スクイド)」です。
トラスト・ログイン(旧 SKUID)で登録された全てのID・パスワードは、暗号化された上でクラウド上で保存されるため、ユーザー各自が個別に管理するより安全性が高いのが特徴です。この「安全に保管する技術」は、電子証明書国内シェアNo.1のGMOグローバルサインの長年の経験とノウハウにより実現されています。
ID・パスワードの一元管理は具体的にどのように実施できるのか、貴社組織で導入した場合にどのようなメリットがあるか、リスクがどれくらい低減できそうか、ID・パスワードの管理・運用工数がどの程度削減できそうか。これらを正しく理解し、貴社のID・パスワード管理の安全性を向上させるため、まずは1アカウントから無料でご評価ください。
