開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

株式会社ソリトンシステムズ提供コンテンツ

  • スペシャル
  • 会員限定
  • 2021/04/23

「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策

コロナ禍でテレワークが広がって以降、テレワーク環境を狙った攻撃が急増している。そこで使われているのが漏えいしたアカウント情報だ。世界中で起きているハッキング事件によってサイバー空間に漏洩したアカウント情報が、サイバー攻撃を効率的に実行するための道具として悪用されているのだ。IDとパスワードの組み合わせは、セキュリティ対策という点で、ほぼ有効性を失っているのが現実なのである。しかし、それでも企業は自らの情報資産を守らなければならない。そこで求められるのは「パスワードは漏れている」ことを前提としたセキュリティ対策だ。

photo
実は99.7%の企業でアカウント情報の漏えいが確認された
(Photo/Getty Images)

99.7%の企業でアカウント情報が漏えいしている現実

 IDとパスワードの組み合わせ、つまり「アカウント」は、システムの利用者が正しいユーザーであることを担保する情報だ。ところが、あるセキュリティ企業が、民間企業や政府機関など1500のドメインを調査したところ、99.7%でアカウントの漏えいが確認されたという。

 いうまでもないが、攻撃者にアカウントが漏れたらシステムを勝手に利用される。アカウントの権限によっては、企業の機密情報にも自由にアクセスできる。99.7%という数字は、もはやIDとパスワードでは機密情報を守れないことを意味している。

画像
従業員のアカウント漏えい

 そこで必要になるのが、パスワードに頼ることなく認証を強化する仕組みだ。その1つがログイン毎に異なるコードを発行するSMS認証やワンタイムパスワード認証だ。ログイン時にユーザーのスマートフォンに送った認証コードや、スマートフォンのアプリで発行されたワンタイムパスワードを入力させて、二つ目の認証要素として利用する仕組みである。非常に有効ではあるが、完全ではない。現実にフィッシングによって突破されるケースが起きている。

 攻撃者はアカウント確認などを装った偽サイトを作り、そこにユーザーを誘導してIDとパスワードを窃取する。窃取したIDとパスワードを攻撃者が正規サイトに入力すると、ユーザーのスマートフォンに認証コードが送られる。ユーザーがその認証コードを偽サイトに入力すると、攻撃者がそれも窃取し、正規サイトにログインするのである。

 IDとパスワードは漏れている。生体認証やワンタイムパスワードも完全ではない。この厳しい環境下で、企業はどうやって自らの情報資産を守ればよいのだろうか。

この記事の続き >>
・アカウントが漏えいしても“安全”を担保する仕組み
・社内のWi-Fi/VPN認証、既存の業務システムへの代理認証にも対応
・化学メーカー JSRの事例:社内システムやクラウドのID・認証情報の一括管理を実現

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!