開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
  • 楠 正憲氏が語る「サービス撤退を避けるためのID管理」とは

  • 2020/01/10

楠 正憲氏が語る「サービス撤退を避けるためのID管理」とは

企業にとってID運用は頭の痛い課題だ。毎日のように報じられるパスワードの漏えいからもわかるとおり、ID運用のリスクは高まっている。「パスワード漏えいを前提としながらID管理と向き合っていかなければならない」と力説するのは、Japan Digital Designの楠 正憲氏だ。同氏は多様化する端末環境に合わせた安全なIDの構築方法や最近のトレンド、課題など、クラウド、キャッシュレス時代に求められるID技術について解説した。

photo
Japan Digital Design
Chief Technology Officer(CTO)
楠 正憲氏


ID漏えいは「サービス撤退」の危機

 クラウドをはじめとするテクノロジーの普及、進展に伴い、「IDの堅牢さ」がクローズアップされている。周知のとおり、キャッシュレス決済をはじめあらゆるWebサービスは堅牢なID管理とその認証なしには成り立たないからだ。

 ID管理やサービス認証の益々重要になる一方、「IDとパスワード」などの認証情報がサイバー攻撃により狙われるようになった。

 楠氏によると、当初は日本で報じられることが少なかったものの、2012年の秋ごろから明確にID、パスワードターゲットにしたサイバー攻撃や、それに伴う大規模なパスワードの漏えい事件が数多く起きているのだそうだ。

 楠氏は「ID・パスワード管理の運用は、それ自体がリスクの高いものになっている」と指摘する。

 これは、業種、業態を問わずあらゆる企業にとって共通の課題であり、あらゆる企業においてパスワードは「漏えい前提」で「漏えいに素早く気づき、被害の拡大を防ぐ」対策が求められるという。

パスワード「危殆(きたい)化」の理由

 では、なぜこれほどまでにパスワードが「危殆(きたい)化」しているのか。楠氏はいくつかのポイントを指摘する。

 まず、多くのサイトからの大規模漏えい(メガブリーチ)が発生し、そうしたパスワードがダークウェブなどで流通するようになったことが大きい。犯罪者にとって、ソフトウェアの脆弱性に関する情報や、パスワード、クレジットカード番号、セキュリティコードなどの売買が容易になっているのだ。

 また、SNSの普及によって、ユーザーが公開する情報から身辺情報を調査することは容易になっており、こうした情報を突き合わせることで、「秘密の質問と答え」もますます危殆化している。  これにより、漏えいしたパスワードリストをもとにした「パスワードリスト型攻撃」が蔓延し、不正アクセスが増加、IoTデバイスに対する無差別攻撃の多発といった状況を招いている。

 適切にIDの認証ができないと、短期間で不正アクセスを許してしまい、サービス撤退に追い込まれることさえ考えられる。

 しかし、「ID管理が死活問題であるにも関わらず、多様化する端末環境に合わせた安全なIDの構築方法について、広く知見が共有されていないのが実情だ」と楠氏は述べる。

 「漏えい前提のID管理」を実現し、被害を最小限に抑えてサービスを継続するには、何が必要なのだろうか。

画像
私たちが普段利用している「認証」はどの程度安全なのだろうか
(Photo/Getty Image)

【次ページ】「SMS二段階認証」の限界とは

トピックス

PR