コロナ禍でセキュリティ意識はどう変わったのか

　インターネットサービス利用者に対する「認証方法」に関するアンケートは、オリンピック開催を控えた2020年、利用者のセキュリティ意識や動向を調べるために実施された。フィッシング詐欺の狙いは標的のアカウント情報やカード情報などである。その手口はメールなどで、本物のサイトやログインページに偽装した攻撃サイトに誘導してアカウント情報やカード情報などを入力させるというものだ。

　フィッシング対策協議会では、保護すべきアカウント情報に対する利用者の考え方、使い方、管理方法、そして攻撃者にとって偽装対象であるサイトやインターネットサービスの利用動向を調べるためにこの調査を実施した。

　その後、パンデミックや社会情勢の変化を受け、2022年に2回目の調査がWebによるオンライン方式で実施された。全国からインターネットサービスを利用したことのある18歳から69歳までを年齢層や性別の比率がほぼ同じになるように抽出。回答者数は533名であった。設問は全部で48問であり、1回目と共通のものが多いが、最初の調査以降に増えたサービスに関する設問も用意された。

　公開された資料は、アンケートの実施要項に加えてすべての設問とその回答結果を表やグラフにまとめたものである。ほぼ生データに近い統計データだ。したがって、データの解釈は各自に委ねられるものだが、設問ごとに調査を実施したワーキンググループによるコメントや考察も加えられている。

「パスワード使いまわし禁止」だけでは対策は不十分？

　調査全体からは、2020年と23年で、利用者のパスワードやインターネットサービスのセキュリティ意識の高まりが確認できる。たとえば、認証やパスワードにかかわる用語についての設問（Q9）では、二段階認証やワンタイムパスワードといった用語の認知率が上がっている。一方で、CAPTCHA、FIDO、オーセンティケータ、3Dセキュア、リスクベース認証などの認知は3割程度と低い数字になっている。


　CAPTCHAや3Dセキュア（2.0）は、言葉は知らなくとも多くの人が実際のサービスで利用した経験があるはずだ。カード番号や有効期限以外にID・パスワードを要求する3Dセキュアは、多くのカード会社が採用しており、3Dセキュア2.0では、リスクベース認証が導入されユーザーの利便性への配慮がなされている。

　用語の認知率がそのままセキュリティ意識の向上に直結するわけでなないが、二段階認証やワンタイムパスワードなど、システムやサービスプロバイダーでの採用・導入が進むことで、利用者にもパスワードに対する意識が変わっていることがうかがえる。

　だが一方で、パスワードの設定方法や管理方法では気になる結果も出ている。パスワード管理方法（Q10）では記憶による管理が60％以上でパスワード管理ツールの利用は伸びていない。記憶に頼る管理というのは、パスワードの使い回しが想定されるわけだが、「すべてのパスワードを使い分けている」割合が15％（Q15）と、前回の18％を下回っている。

　セキュリティ担当者は、技術的には有効なパスワードの使い分け、管理ツールの利用は、現実解としてあまり機能していないという認識が必要だ。業務システムのようなSSO（シングルサインオン）環境以外、民間サービスにおいて「パスワードは使いまわすな」は、必要だがそれを解決策にしてはいけない現実がある。 【次ページ】「ID・パスワード」に取って代わる認証方法とは