あなたのパスワードについての理解は間違っている: セキュリティのエキスパートが語る

2021/06/28

CNBC_top.jpg

ここ数年、IDとパスワードのみの認証では、セキュリティ的に脆弱であることが指摘されるようになりました。以下では、アメリカの金融ニュースチャンネルであるCNBCに掲載された記事を紹介します。

指紋や顔などの生体情報を使った認証を、インターネット経由で行う規格を策定している「FIDO Alliance」エグゼクティブディレクターのAndrew Shikiar氏、ならびセキュアなソフトウェア開発を支援するSynopsysのJonathan Knudsenが、「あなたのパスワードについての理解は間違っている」という題名で、パスワードに関する新常識をお伝えします。

 

 

従業員のパスワード使い回しは平均13回

CNBC_1.jpg

個人向けパスワード管理ツールを提供するLastpassが行った調査によると、企業の従業員におけるパスワード使い回しの平均回数は1人あたり13回にも上ったことが判明しました。そして、盗んだパスワードを利用した攻撃は、ハッキングによる情報漏えいの80%にも上ることも判明しています。

つまり、パスワードの使い回しを起点とする攻撃は、不正アクセス試行の大部分を占めるにもかかわらず、いまだに企業は従業員を信頼してパスワードの管理を任せています。しかし、従業員からすると、全て別々なパスワードを作成して記憶しておくことはできません。このため、平均13回もパスワードを使い回すという結果になっています。

Jonathan Knusen氏は、こうした状況について「(攻撃者が)パスワードを盗み出す方法は無数にあるにも関わらず、人々は各Webサイトが自分のパスワードを守り抜いてくれるだろうと過大評価している」と説明しています。

 

 

完全なパスワードレス認証はまだ到来しない

CNBC_2.jpg

パスワードが危険なのであれば、パスワードを使わなければよい。これが専門家の回答です。具体的には、パスワードに代わって、スマートフォンを利用した認証、USBセキュリティキー、指紋認証、音声認証、顔認証などの活用が提言されています。

しかし、現時点では「パスワード認証+別な認証」を利用する「二要素認証」は一般的になりつつありますが、パスワードを全く利用しない認証は一般的でありません。よって、両氏が提唱する完全なパスワードレスの時代が到来するのは、まだ先となりそうです。

なお、インターネット越しで生体認証を行うことで、完全なパスワードレスを目指す規格を策定する「FIDO Alliane」は、2018年に最新の規格として「FIDO2」を提唱しています。既に主要なブラウザやスマートフォンへの対応が完了しているため、普及に向けた土台は整いつつあります。今後は、その土台の上で各オンラインサービスが認証を開始する必要があります。ちなみに、世界で初めてFIDO2をオンラインサービスに実装したのはヤフージャパンン(ヤフー株式会社)となります。

 

 

乗り越えるべき3つの「神話」

CNBC_3.jpg

両氏は、パスワードが過去のものとするには、乗り越えるべき3つの神話があると指摘します。

 

1: 多要素認証は「絶対安全」ではない

パスワードと、別な認証要素(SMS認証、メール認証、クライアント証明書認証、指紋認証、顔認証など)を、合計2つ以上組み合わせる認証は「多要素認証 (MFA)」と呼ばれます。しかし、多要素認証はどれも等しく強固であるわけではありません。広範に利用されている「パスワード+SMS認証 (ワンタイムパスワード)」は、SMSへのアクセス権を乗っ取られて、SMSに記載されているワンタイムパスワードが筒抜けになるリスクがあります。

 

2: 複雑なパスワードを設定すれば安全というわけでない

「123456」という非常に脆弱なパスワードに比べれば、「secret」、または「secret」のアルファベットのeを数字に置き換えた「s3cr3t」といったパスワードはまだ「まし」です。しかし、アルファベット、数字、記号を駆使したパスワードを作ったとしても、パスワードは所詮文字列であるため、最終的には全てのパスワードが盗み出されるリスクがあります。

「複雑なパスワードを設定したから、パスワードが破られることはない」という考えは誤りです。

 

3: パスワードの定期変更は意味がない

2017年にアメリカ国立標準技術研究所(NIST)が、パスワードの定期変更を非推奨としたことにより、翌年の2018年には、日本のIT行政を担う総務省も「パスワードの定期変更は必要ない」と方針転換をしています。これは、ユーザーにパスワードを定期的に変更する作業を課すよりも、システム管理側が脆弱なパスワードを設定されないような仕組みを構築するほうが効果があるという判断からです。

ちなみに両氏は、パスワード定期変更時に「パスワードを少しだけ変える」「記号を混ぜる」といった変更は、ハッカー側もすでに認識しているため、セキュリティ強化にはつながらない点を指摘しています。

 

パスワードを利用しない「IDaaS」でセキュリティを高める

パスワードレス時代がまだ到来しないからといって、ただ待っているだけでは、企業や個人の重要情報を危険にさらすことになります。漫然と待つだけでなく、現在できる対策を行いセキュリティを高めることが重要になります。

具体的には、当社が提供する「トラスト・ログイン」のような、クラウド型の企業向けシングルサインオン (IDaaS)が有効な対策となります。従業員が利用するサービスのパスワードを、SAML認証に切り替え、サービスのパスワードが登録されていない状態にします。

管理者側でシングルサインオンの管理を行えば、パスワードの使い回しを完全になくすことができます。

これにより、利用するサービスからパスワードが漏えいすること自体がなくなり、ユーザーはIDaaSを経由しなくてはサービスへアクセスすることができません。パスワード使い回しを理由とするリスクがなくなり、従業員は、各種サービスへのアクセスを全てトラスト・ログイン経由とし、トラスト・ログインにアクセスする際のパスワードを1つだけ記憶しておけば、他全てのパスワードを記憶する必要すらありません(情報システム部門がユーザーにパスワードを教えない運用も可能です)。

パスワードの使い回しは、現在進行形の脅威です。企業にとって重要なリスクをユーザー任せにせず、ぜひトラスト・ログインを利用して積極的なリスク回避を行っていただければと存じます。