「アカウントが漏えいしている前提」で情報資産を守るセキュリティ対策

ありがとうございます！
いいね！した記事一覧をみる

会員になると、いいね！でマイページに保存できます。

コロナ禍でテレワークが広がって以降、テレワーク環境を狙った攻撃が急増している。そこで使われているのが漏えいしたアカウント情報だ。世界中で起きているハッキング事件によってサイバー空間に漏洩したアカウント情報が、サイバー攻撃を効率的に実行するための道具として悪用されているのだ。IDとパスワードの組み合わせは、セキュリティ対策という点で、ほぼ有効性を失っているのが現実なのである。しかし、それでも企業は自らの情報資産を守らなければならない。そこで求められるのは「パスワードは漏れている」ことを前提としたセキュリティ対策だ。

実は99.7%の企業でアカウント情報の漏えいが確認された

（Photo/Getty Images）

99.7％の企業でアカウント情報が漏えいしている現実

　IDとパスワードの組み合わせ、つまり「アカウント」は、システムの利用者が正しいユーザーであることを担保する情報だ。ところが、あるセキュリティ企業が、民間企業や政府機関など1500のドメインを調査したところ、99.7％でアカウントの漏えいが確認されたという。

　いうまでもないが、攻撃者にアカウントが漏れたらシステムを勝手に利用される。アカウントの権限によっては、企業の機密情報にも自由にアクセスできる。99.7％という数字は、もはやIDとパスワードでは機密情報を守れないことを意味している。

従業員のアカウント漏えい

　そこで必要になるのが、パスワードに頼ることなく認証を強化する仕組みだ。その1つがログイン毎に異なるコードを発行するSMS認証やワンタイムパスワード認証だ。ログイン時にユーザーのスマートフォンに送った認証コードや、スマートフォンのアプリで発行されたワンタイムパスワードを入力させて、二つ目の認証要素として利用する仕組みである。非常に有効ではあるが、完全ではない。現実にフィッシングによって突破されるケースが起きている。

　攻撃者はアカウント確認などを装った偽サイトを作り、そこにユーザーを誘導してIDとパスワードを窃取する。窃取したIDとパスワードを攻撃者が正規サイトに入力すると、ユーザーのスマートフォンに認証コードが送られる。ユーザーがその認証コードを偽サイトに入力すると、攻撃者がそれも窃取し、正規サイトにログインするのである。

　IDとパスワードは漏れている。生体認証やワンタイムパスワードも完全ではない。この厳しい環境下で、企業はどうやって自らの情報資産を守ればよいのだろうか。

この記事の続き＞＞

・アカウントが漏えいしても“安全”を担保する仕組み

・社内のWi-Fi/VPN認証、既存の業務システムへの代理認証にも対応

・化学メーカー JSRの事例：社内システムやクラウドのID・認証情報の一括管理を実現