「セキュリティ嫌い」を克服するための多要素認証活用

2018/07/26

security_top.jpg

情報を不正に入手しようとする攻撃が容易に、かつ大規模に行えるようになるに従って、情報セキュリティはより厳重に取り組まれることになります。情報セキュリティが強化されるのは良いことですが、その反面「セキュリティ嫌い」とでも言うべき人が増加しています。

セキュリティ嫌いとは何か、どのようにセキュリティ嫌いを克服できるかをご紹介します。

 

 

「セキュリティ嫌い指数」

security_index.jpg

ニューヨーク州にあるロチェスター大学医学部の情報セキュリティ責任者である Mike Pinch さんは、情報セキュリティ強化に伴う混乱、不便さ、そして多大な労力が人を「セキュリティ嫌い」にさせていることに気づき、「セキュリティ嫌い指数 (Security Hatred Index)」を作成しました。

index.PNG

(引用元: http://blog.identityautomation.com/how-to-overcome-the-security-hate-factor-when-implementing-mfa)

この指数は、上に行くほど「セキュリティ嫌い度合い」が高く、下に行くと「セキュリティ嫌い度合い」が低いことを表しています。そして、左から右に行くにしたがって時間が経過していることを示しています。

まず、時間「1」の付近には「アンチウイルスソフトの利用」があります。アンチウイルスソフトの導入で、ユーザーが不快な体験をほとんどしていないためか、指数はほとんど上昇していません。

次が、時間「3」付近にある暗号化です。暗号化はバックエンドで自動でなされて、暗号化されたことに気づくこともないためか、これも指数が大きく上昇する原因にはなっていません。

次いで時間「5」付近の「パスワード変更」です。定期的にパスワードを強制変更しなければならないことは、ユーザーの時間と労力、そしてパスワード忘れを誘発するためか、セキュリティ嫌い指数がぐんと上昇してしまっています。

そして時間「7」付近の「2FA (二要素認証)」でセキュリティ嫌い指数は頂点に達します。IDパスワードを入れた後に何か別な要素の認証を求められることは、ユーザーのセキュリティ嫌いを強く後押ししていることがよく分かります。

時間「9」付近の「ECPS上の二要素認証」でセキュリティ嫌い指数は若干減少してしますが、とはいえ高いままです。ECPS (Electronic Control for Controlled Substances) は、一般的な技術用語ではないため、ロチェスター大学医学部のシステム上で二要素認証の手間を軽減する技術が導入されたことのようです。

そして最後の時間「11」付近では、セキュリティ嫌い指数が一気に下がって過去最低となっています。ここで導入されたのは「生体認証とシングルサインオン (SSO)」となっています。

 

 

どのようにセキュリティ嫌いを回避するか

security_avoid.jpg

次に、生体認証とシングルサインオンが「セキュリティ嫌い指数」を大きく下げた要因について考えてみましょう。

まず、生体認証についてです。生体認証は、生体を使うことで「本人以外の人が認証されてしまうリスクを下げる=セキュリティ強化」ことだけでなく、認証に関する労力を大きく下げる効果があります。生体認証で一般的なものは「指紋」「顔」「静脈」「虹彩」などですが、これら全ての認証を行う際にIDやパスワードを記憶する必要がありません。「指で指紋リーダーにタッチする」「顔をカメラに向ける」「静脈リーダーに指や手のひらを乗せる」だけで認証を行うことができます。

また、生体認証は認証にかかる時間が極めて短いことも大きいです。例えば、多くの指紋リーダーでは、認証にかかる時間は0.2秒を切っており、IDパスワードを入力するよりも手早く認証が完了します。他の生体認証も、認証に必要な時間は極めて短く、ユーザーの負担が小さいといえます。

なお、生体認証は「FIDO U2F/UAF」といった規格により標準化がされているため、FIDO U2F/UAF対応製品であれば特定のメーカーに依存してしまうリスクもありません。

次にシングルサインオンについてです。通常の二段階認証では「各サービスごとの独自のパスワード+二要素目の認証情報入力」が求められていたため、別なパスワードを記憶する必要がありました(当然、求められる複雑性を満たすパスワードです)。パスワードの使い回しを行わずに、複雑性を満たすパスワードを、サービスの数だけ作成して記憶しておくのは大変な困難を強いることになります。シングルサインオンであれば、多数のサービスに対して1つのパスワードでログインできるため、パスワードを作成、記憶する手間を省くことができます。

生体認証とシングルサインオンを複合的に組み合わせることで、セキュリティのレベルを下げずに、ユーザーの負荷を下げることができるので、すなわち「セキュリティ嫌いを回避」することが可能となります。

 

 

安価に導入する方法を検討する

security_anka.jpg

生体認証とシングルサインオンは優れたテクノロジーですが、では導入コストとランニングコストの両方を抑えて導入するには何に気を付ければよいでしょうか。

まず生体認証より広義である「多要素認証」という観点で考えてみましょう。多要素認証を導入すると、年間のソフトウェア費用 (月間数ドル程度) に加えて、認証ごとにかかる費用の合計が年間50ドルから100ドル程度となります。合算すると100ドル台前半から200ドルです。

また、生体認証導入時にFIDO U2F/UAF対応のハードウェアデバイスが必要となる場合は、一人あたり少なくとも数十ドルが必要です。

次にシングルサインオンです。シングルサインオンを導入すると、多くのサービスでは月間4ドル程度の費用が必要となります。

これらを合算すると、1ユーザーあたり年間300ドル前後の費用がかかる計算となります。少人数の導入で考えると高くはありませんが、数十人、数百人、数千人の導入で考えるとかなり高額な費用となります。

 

 

「トラスト・ログイン」で「セキュリティ嫌い」を安価に撃退

security_トラスト・ログイン.jpg

これまで、シングルサインオンと生体認証が、セキュリティ嫌いを軽減するために効果があるとご紹介させて頂きました。ユーザーが増えるごとにハードウェア費用、ソフトウェア費用がかかるため、導入に際しては費用を抑えた形で導入する方法を考える必要があります。ここでお勧めできるのが、当社のシングルサインオン製品「トラスト・ログイン」です。

「トラスト・ログイン」は基本機能を全て無料で利用することができます。そして、今後リリース予定のトラスト・ログインのオプション機能である「FIDO U2F/UAFオプション」については、他製品と比べて価格競争力のある有償オプションとして提供する予定となっております。

ぜひトラスト・ログインをご利用頂き、貴社の従業員の「セキュリティ嫌い」を取り除き、より安全でより効果的な認証をご利用頂ければと思います。