パスワード流出による「なりすまし」が増加、リモートワークに必要な意識改革と有効策とは?
記事をお気に入りリストに登録することができます。
新型コロナウイルス対策としてテレワークが広がる中、2020年7月上旬に通信会社社員のBYOD端末から社内サーバーに対して正当なアカウントとパスワードを使った侵入が明らかになった。8月下旬には、大規模なVPNのパスワード漏えい事件が大きく取り上げられた。これらは第三者が社内ネットワークに自由に侵入できたことを意味する深刻な事態だ。こうした事件・事故は今後も続くだろう。もはや、こうした事態に対処するには、発想の大転換が求められる。それは「IDとパスワードは漏れている」という前提に立つことだ。この前提に立ったとき、考えられるセキュリティー対策は何か。その具体的な姿を考えたい。
(Photo/Getty Images)
IDとパスワードの流出による「なりすまし」の脅威が増えている
IDとパスワードの流出による、なりすましの脅威は群を抜いて増えている。IBM X-Force 脅威インテリジェンス・インデックス・レポート 2020によれば、2019年における上位の攻撃初期の手口として、フィッシング、資格情報の不正利用といった、なりすましログインに起因する割合が60%を占めていた。これは、スキャンと脆弱点を突く攻撃の2倍であった。また2020年8月下旬には、情報処理推進機構(IPA)が「情報セキュリティ10大脅威 2020」を発表した。その個人編の1位は「スマホ決済の不正利用」、2位は「フィッシングによる個人情報の詐取」だった。トップ10の実に7つの項目が、不正に取得されたIDとパスワードによるなりすましの脅威に絡んでいるのである。組織編でも、1位の「標的型攻撃による機密情報の窃取」が強く関わっている。攻撃者が組織内部への侵入手段として、奪取した正規のID・パスワードを利用してくるケースもあるためだ。
では、こうした事態に企業がとるべきセキュリティー対策は何か。最も重要なことは「IDとパスワードは漏れている」という前提に立つことだ。
具体的にはID・パスワードを使った認証が正規ユーザーのものであるのかどうかを監視していくということである。これは、ゼロトラストを構成する重要な要素の1つである Identity にも通じる事項であるし、認証における DX(デジタルトランスフォーメーション)にも関与する事項ともなるのだ。どうすれば実現できるのだろうか。
この記事の続き >>
・「IDとパスワードは漏えいしている」という前提でのセキュリティー対策
・ユーザーの利便性はそのままで、高い「不正検知率」と低い「アラート率」を実現
・奪取された正規アカウントによる社内深部への侵入やゼロトラストを構成する要素の1つであるIdentityにも有効
今すぐビジネス+IT会員にご登録ください。
すべて無料!ビジネスやITに役立つメリット満載!
-
ここでしか見られない
1万本超のオリジナル記事が無料で閲覧可能
-
多角的にニュース理解
各界の専門家がコメンテーターとして活躍中!
-
スグ役立つ会員特典
資料、デモ動画などを無料で閲覧可能!セミナーにご招待
-
レコメンド機能
あなたに合わせた記事表示!メールマガジンで新着通知
関連タグ
