情報セキュリティ対策の要諦~パスワードに頼り切らない多要素認証(1)
2024.3.22
パスワード・ID管理の課題 多要素認証による情報漏洩対策
インターネットを介したサイバー空間は、世界中の誰でも・どこからでも利用できる公共財の一つであり、いつでも・どこからでも欲しい情報にアクセスできる利便性をもたらす一方で、秘匿にしておきたい機密情報や個人情報などといった重要情報が想定しない第三者から閲覧される可能性があります。
秘匿にしておきたい重要情報へのアクセス管理の役割を担っているのがID とパスワードですが、ひとたびパスワード情報が悪意ある攻撃者に知られると、重要情報を盗取するといったサイバー攻撃の起点とされるおそれがあります。
例えば、リスト型攻撃1や辞書攻撃 2、総当たり攻撃 3など、パスワードの盗取を目的とした攻撃手法は様々存在しており、複数の異なるサービス間において使い回されているパスワードや、誕生日や氏名で構成される推測が容易なパスワードはかかる攻撃によって攻撃者に盗取される可能性が高いです。
従前より企業の情報システム担当やサービス提供事業者は、利用者に対して以下のようなパスワード設定を促しています。
- サービス毎に固有のパスワードを設定する
- 大文字、小文字、数字、記号を織り交ぜて設定する
- 同じ文字の繰り返し(aaaaa)や、順番(abcde)のパスワードを利用しない
一方で、複雑なパスワードは利用者の管理負荷を増大させるため、上記の要求項目が形骸化してしまい、社内のIT統制が正しく機能せず、セキュアな状態の確保が難しくなっています。
本稿では、アクセス管理の一要素である識別・認証・認可の役割と、よりセキュアな認証を実現する多要素認証について説明します。
- 何らかの手段により不正に入手した他者のID・パスワードをリストのように用いて様々なサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃。
- 辞書に登録されている単語や人物名などを組み合わせたものをパスワードに使用して、システムなどへのログインを試みるサイバー攻撃。
- パスワードを解読するため、考えられる全てのパターンを試す方法。
情報セキュリティの三要素を守るための識別・認証・認可のプロセス
サイバー空間において、利用者を限定して特定の利用者のみがアクセスできる仕組みの一つに識別・認証・認可のプロセスがあり、情報セキュリティにおける機密性・完全性・可用性を守るために不可欠な要素となっています。
- 識別
識別とは、サイバー空間にアクセスする利用者に対して固有の識別子を与える仕組みであり、現実空間における免許証や社員証、学生証のような仕組みです。サイバー空間では自分自身の身元証明としてIDがユーザーごとに付与されます。例えば、Aさんがメール機能や動画視聴、マップ機能が利用できるシステムXを新たに利用する場合、Aさんの個人情報・氏名・メールアドレス等を登録することで、システムXを利用する際の固有の識別子ID)が付与されます。 - 認証
認証とは 、識別において付与されたIDの正当性を検証するプロセスです。現実空間では免許証等に付与されている顔写真と、免許証を保有している人物の顔が同一であると判断できるかどうかを通じて本人性を確認しています。サイバー空間において自分自身を証明する仕組みとして、本人だけが知り得る情報を元に本人の特定を行います。例えば、AさんがシステムXにログインを試みる場合、IDとAさんのみが知っている情報パスワードを組み合わせることで、システムにアクセスをしようとしているAさんの本人性を確認することができます。 - 認可
認可とは、識別と認証によりアクセスを試みる利用者の本人性が確認できた後に、当該利用者がどの機能・サービスを利用できるかを決定する仕組みです。例えば、AさんがシステムXにおいてメール機能のみ利用できる権限が付与されている場合、その機能のみにアクセス権限を付与することが認可です。認可の仕組みが存在しない場合、識別・認証のプロセスにおいてアクセスする利用者の身元が特定できたとしても、システム内のすべての情報に自由にアクセスできることになり、秘匿としたい情報を秘匿のままにすることが出来なくなる可能性があります。
識別・認証・認可の3要素の中でも、特に「認証」はアクセスする本人の本人性確認として重要な機能を果たしています。これまでは「本人のみが知り得る情報」を「パスワードのみに依存」して認証をしてきましたが、推測が容易なパスワードや使い回しをしているパスワードは容易に盗取される可能性があることは前述のとおりです。
「機密性」は特定の人だけが情報にアクセスできるように制限をかけること、「完全性」は情報が不正に改ざんされないこと、「可用性」はシステムを継続的に利用できることを指し、情報セキュリティ三要素と総称されます。
※本記事は、2022年9月15日発行のMS&AD InterRisk Report・サイバーセキュリティニュース「パスワードに頼り切らない認証方法とは~多要素認証のススメ~」を再編集したものです。