IDとパスワードによる運用はそのままに認証のセキュリティレベルを向上させる
セキュリティ志向が高まる一方、認証は依然IDとパスワードのみという事実
「最近のオンライン犯罪の傾向として、特定の企業をピンポイントで狙う“標的型”が増えています。こうした攻撃では、プロでも見破れないようなソーシャルエンジニアリングをはじめとする複数の手法を組み合わせて情報を盗み出すため、IDとパスワードだけの認証では不安があります。また、これまでは欧米の大企業が主なターゲットでしたが、日本では中堅・中小企業が重要な知財を持っているケースも多く、今後狙われる可能性は大きいとみています」(EMCジャパン RSA事業本部 マーケティング部 シニアマーケティング・プログラムマネージャー 水村明博氏)
とはいうものの、企業におけるアクセス認証は、いまだID・パスワードによるものが主流だ。EMCが独自に行った企業調査では、調査対象となった世界7か国・2400名の従業員の67%、実に3分の2がID・パスワードによる認証をVPNなどのリモートアクセスで利用していた。また経済産業省のセキュリティ対策に関する統計からは、従業員1000名以下の企業では明らかにセキュリティ意識が不十分か、もしくは必要性を感じながらもコストが足かせとなって対策がとれない状況が読み取れるという。
「これらの結果からは、いまだに多くの企業の現場では、現状の課題に比してアクセス認証に関するセキュリティ意識が低く、また脆弱性が懸念されるということが明らかです。特に現在話題となっている先進的な攻撃に対して、単純なIDとパスワード認証だけでは危険という意識が、まだ企業の現場にもトップにも浸透していないのが実態です」(水村氏)
簡単にできるセキュリティ対策として、パスワード文字列を長くしたり、英数記号を混ぜて複雑にすることが考えられるが、覚えにくいパスワードは、ユーザーの負担を増やすことになる。そうなるとユーザーは、パスワードをPCに記憶させてしまったり、紙にメモしたりすることになるが、これではソーシャルエンジニアリングの標的となりやすく、セキュリティの意識も低下する一方になってしまう。中堅・中小企業のアクセス認証は、ユーザビリティ確保とセキュリティ強度のはざまで揺れ続けているのだと水村氏は言う。
従来と同じIDとパスワードだけでセキュリティの強度を上げる
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ