シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

IDaaSでは、SSO(シングルサインオン)を利用することで「利便性向上」を実現できます。同時に、認証を通じ「セキュリティ向上」を実現できることはご存じでしょうか。今回は、認証強化で具体的にどうセキュリティ強化を実現するかについてお伝えします。

前回(第3回 徹底解説!SSOの仕組みを理解する)では、SSO(シングルサインオン)の歴史と、具体的な実現方法についてお伝えしました。今回は「IDaaSによるセキュリティ向上」を「認証強化」の観点から解説致します。

 

なぜ認証強化が必要なのか

毎日SaaSや社内システムを利用している方は、利用開始時に「IDとパスワード入力」などによる「認証」を行っています。企業としてAD/Azure ADを使っている場合は、”PCにログイン”するという行為の裏で認証が行われているのです。
この認証を行うことで、セキュリティを担保した上で、自身が利用したい情報にアクセスでき、システム上やクラウド上で業務が行えるようになるのです。
その一方で、こうした認証システムを狙い「ハッカーなどの”悪意のある第三者”による認証突破」、すなわち「不正アクセス」が増加しているのが現状です。

情報システム関連の業務に就かれている方々には“釈迦に説法”かもしれませんが、不正アクセスとは、「悪意のある第三者が、あなたが利用しているサービス・システムの認証を何らかの方法で突破する」ことを意味しています。その結果、認証した後にアクセスすることができる個人情報や営業情報、場合によっては金銭詐取につながる情報(クレジットカード番号や口座情報など)が盗難される被害が生じます。

では、不正アクセスがどのように行われるのか、被害に遭わないためにもその手口を理解しておきましょう。
不正アクセスは、主に以下のような3つの方法があります。

1.ID・パスワードの盗み見

あなたが「IDとパスワードをデスクに貼っている」「使っているIDとパスワードを同僚に言っている」「IDとパスワードを書いたExcelファイルを画面に表示している」場合は危険です。あなたが利用するIDとパスワードを、同じオフィスで勤務する上司や同僚、部下が知っている場合、簡単に不正アクセスできます。

プライバシーマークやISMSの取得をされている企業においては、当然、このようなことはしていないと思いますが、実際、ITリテラシーに乏しい経営層の方などではされてしまっている方もいらっしゃるそうです。これみよがしにモニターに貼り付けるなどはしなくても、引き出しを開けると書いてあったなどということもあるとか。情シスさんの経営層対応はなかなかに大変です。

このタイプの目的ですが、「単なる好奇心」「同僚に対するいやがらせ」「行為を持つ同僚の個人情報取得」「金銭目当て」など、様々なケースがあります。

2.リスト型攻撃

同じIDとパスワードを、複数のSaaSや社内システムで使っている場合、要注意なのがリスト型攻撃です。

例えば、普段利用しているインターネット上のWebサービスが5つあると仮定します。そして、この5つのWebサービスで同じIDとパスワードを使い回していたとします。

このような環境において、この5つのWebサービスの内、1つが外部からの攻撃により「利用者のIDとパスワードが漏えい」したとします。攻撃を受けたWebサービスの提供者は漏えい事故に気付いた直後に、対象者全員のパスワードを無効にし、対象者にパスワード再設定を行うように連絡します。
こうした対応が即座に行われた場合、漏えいしたとはいえ、攻撃されたサービス自体は安全です。

しかしながら問題なのは、攻撃されたサービスから漏えいしたIDとパスワードのリストを使って、別なサービスに不正アクセスを行おうとする攻撃者がいることです。
この場合、攻撃されていない残りの4つのWebサービスでは情報漏えいは発生していないにもかかわらず、「攻撃されたサービスと同じIDとパスワードを利用している」ため、不正アクセスされる可能性が高くなるのです。

リスト型攻撃の目的は、主に(情報取得も含む)金銭目的と考えられます。漏えいした数千~数億件のIDとパスワードの組み合わせ、利用者になりすまして悪事を働きます。

不正取得されたIDとパスワードは、ダークウェブ(参考:使える! 情シス三段用語辞典68「ダークウェブ」)などで売買されていると言われています。
これを防ぐにはパスワードを強力にする、すなわちランダムで複雑化する必要がありますが、そうなるともう覚えておくことはできないのです。

3.ブルートフォース攻撃(総当たり攻撃)

頻繁に利用されている脆弱なパスワードを利用して、手当たり次第に認証を試す攻撃がブルートフォースアタックです。総当たり攻撃とも言われます。
昨年、国内においてもドコモ口座問題で「リバースブルートフォース攻撃」という言葉を目にしたのではないでしょうか。個々で使われたリバースブルートフォース攻撃はブルートフォース攻撃が元となっています。(参考:使える!情シス三段用語辞典115「リバースブルートフォース攻撃」

少し話がそれてしまったので元に戻しましょう! 経済紙のForbesでは、「The World’s Top 100 Worst Passwords」と題した記事を公開していますが、この記事では「12345」「test1」「password」「abcd1234」「basketball」などが脆弱なパスワードとしてランクインしています。

このブルートフォース攻撃は、既知のID(アカウント)に対し、パスワードを変えながら総当りでログインを試みるというものであり、世の中の多くのシステムやサービスはIDとパスワードを用いて利用者の認証を行うものがほとんどであることから、古くからある手口です。
「下手な鉄砲数撃ちゃ当たる」のアプローチで攻撃してきますので、同じIDでパスワードエラーが複数回続いた場合は異常検知とすることでアカウントロックなどの対策が施されてきました。

このブルートフォース攻撃も、リスト型攻撃と同じく、主に(情報取得を含む)金銭目当ての攻撃と言えるでしょう。

このブルートフォース攻撃対策として「短時間で同一のIPアドレスから大量のアクセス試行」があると、不正な攻撃とみなし、サーバー側で特定IPアドレスからのアクセスを停止させます。このため、「ブルートフォース攻撃の亜種」として、「多数のサイトに対してゆっくり時間をかけて総当たり攻撃を行う」パスワードスプレー攻撃も増加しています。

ちなみに先のドコモ口座問題で使われていた、リバースブルートフォース攻撃はパスワードを固定し、IDの方を変えながら総当りでログインを試みるという手口で、特定のIDを狙うには適しませんが、IDとパスワードの組み合わせを探るという意味ではアカウントロックの仕組みを逆手に取った非常に巧妙な仕組みと言えます。

 

上記に挙げたような攻撃手法から情報や金銭を守るための対策として、「IDとパスワードだけで不正アクセスされない」認証強化が急務となっているのです。

 

認証強化を行うメリットとデメリット

不正アクセスから情報と金銭を守るための認証強化ですが、闇雲に強化すれば良いというものでもありません。それによって使いにくくなってしまえば、今度は使われなくなってしまい、逆に抜け道を探す利用者が出てきてしまうことの方が問題だからです。 そこで、中立的な視点から「メリット」と「デメリット」比較を紹介します。

メリット1: 不正アクセスに対するほぼ完璧な対策

認証時に「IDとパスワードのみ利用する」場合と、「IDとパスワードに加えて、認証強化を利用する」場合だと、後者は圧倒的に安全性が高くなります。例えばGoogleでは、認証強化(二要素認証)を行うことで「自動化された攻撃を100%ブロックできた」ことを自社のブログで発表しています。

認証強化により、組織において最も重要といえる「情報」と「金銭」が盗み出されるのを高い確率で防止できるため、組織の安定的な運営に貢献します。

メリット2: スマホ普及で専用デバイスや乱数表が不要

スマホ登場前の認証強化の多くは、ID・パスワード入力後に「専用デバイスに表示される数列を入力」「乱数表の数字を順番に入力」するなど、別なデバイスやカードが必要でした。このため、専用デバイスや乱数表がないと認証が行えないという不都合と隣り合わせでした。

現在は、認証強化を行う場合の多くは、普段利用しているスマートフォンを利用するため、「認証のためだけの専用デバイスを持ち歩く必要」はなくなりました。また、専用デバイス導入が不要になったため、認証強化の導入コストも低下しています。

メリット3: 人の能力に依存しない

企業が従業員に対して、不正アクセス対策として守るべき基本的な内容は、「パスワードを他人が分かるところに置かない」「パスワードを口外しない」「パスワードを使い回さない」といったものです。
しかし、これらは「指導したとしても、従業員が守ってくれるかどうかは分からない」のが実情です。その理由としては「利用するシステムごとに別のパスワードを設定するのは面倒」だからです。

認証強化を導入した場合、万が一従業員がパスワードを使い回していたとしても、追加で別な認証を行うことで、不正アクセスを高い確率で防げます。認証強化で追加される認証を「オプション」ではなく「義務」とすれば、「全従業員が認証強化を行う」こととなり、従業員の努力に依存しないセキュリティ向上を実現できます。

 

デメリット1: 認証時に追加で一手間必要

多くの認証強化の方式では、ID・パスワードで認証した後に「追加で別な認証を行う」手順を取っています。従業員からすると「認証を完了させるための手間がもう一つ増える」、つまり面倒になります。特に導入当初は「やり方が分からない」「うまく進めない」といった問合せが増加します。
しかし、これは不正アクセスを防ぐためのセキュリティ事案であること、また不正アクセスを試みる攻撃手法が高度化していることから「面倒だからやらない」では済まされません。

経営陣から認証強化についての正しいメッセージを出してもらう、認証強化をオプションではなく義務とする、導入前にマニュアルや解説動画を作るなどして、従業員に「企業を守るために正しく必要なアクションであり、かつマニュアルや解説動画で不明点はほぼ解消されている」状態にして、導入するハードルを下げる工夫が必要です。

デメリット2: 追加コストが必要

例えば、これから認証強化を利用しようとすると、認証強化サービスを提供するIT企業に対して、ユーザー数やデバイス数などに応じた費用を支払う必要があります。1人あたりの月額費用は100円程度から利用できるものもありますが、料金は従業員数に比例するため、企業規模が大きくなればなるほど投資額は増加します。

不正アクセス対策としての認証強化をコスト面から渋っていたがために、不正アクセスを許してしまったとなると、経営責任が問われかねません。
日本IBMの調査によれば、情報漏洩後には「発見と報告(詳細調査費用も含む)」「漏洩データの主体(個人情報が漏洩した登録会員など)や当局に対する通知」「対策費用全般(法的費用/罰金、再発防止対策費も含む)」「ビジネス機会喪失(既存顧客離脱、新規顧客の忌避などによる想定額)」という4つの活動が必要であるとして、情報漏洩1件あたりの総コストは平均で392万ドル(およそ4億3000万円)という結果もあります。
このように、「どうすればセキュリティを保ちつつ、コストをできるだけ抑えられるか」を考え、製品やプランを比較検討すべきなのです。

 

認証強化の種類と仕組みを理解する

では、具体的な認証強化の種類と仕組みについて解説していきます。

1. ワンタイムパスワード

ID・パスワード入力後に、「4桁から8桁程度の数列」を追加で入力する方法です。この数列が1度限りの使い捨てであることから「ワンタイム (一度限りの) パスワード」と呼ばれています。ワンタイムパスワードは有効期限が設定されており、最短で30秒程度、長くても数十分程度です。有効期限を過ぎたワンタイムパスワードは利用できません。

ID・パスワード入力後に、「どのようにワンタイムパスワードを入手するか」は様々な方法があります。

  • スマホアプリ (認証システムアプリ [Authenticator]、専用アプリなど)
  • SMS
  • メール
  • 専用ドングル

スマートフォン登場以前は、電池で動作する専用ドングルが一般的でした。しかし、配布コストが高いこと、ドングルを持ち歩かないと利用できないこと、電池切れが起こることなどから、現在ではスマホアプリ、SMSに加えてメール(スマホなしで利用可)が一般的です。

2. タッチ認証

ID・パスワード入力後に、「専用スマホアプリで『ワンタッチして認証を許可する』」方式です。原理としては、「ワンタイムパスワード入力」とほぼ同じで、「ワンタイムパスワードを入力するプロセスが、ワンタッチに置き換わった」と理解するとよいでしょう。

数桁の数列を入力するワンタイムパスワードと比べて、スマホ画面に表示される「タッチ画面」をワンタッチするだけなので、より手軽です。利用にはスマートフォンと専用アプリが必須です。

3. 専用デバイス認証(USBドングル、ICカード)

ID・パスワード入力後に、パソコンやスマホに接続されているUSBデバイスやICカードで追加の認証を行う方式です。

スマートフォン登場以前から広く利用されてきた方式ですが、スマホ登場以後は別な認証強化方法のほうがコストと手間がかからないため、主流の方式ではなくなっています。

4. 生体認証

スマートフォンの指紋認証、顔認証機能を利用して、サービス利用時の認証を行うものです。利用するスマホと、そのスマホに登録されている認証情報を利用します。ID・パスワード入力後に生体認証を行う場合と、ID・パスワード不要で生体認証のみ使用する場合の2パターンがあります。

あらかじめ登録されたデバイスでしか認証できないこと、スマホ内の生体情報を利用していることで認証強化を実現しています。なお、ID・パスワード不要の生体認証は、認証においてパスワードを使用しない「パスワードレス」となります。

5.クライアント証明書認証

利用するデバイスにあらかじめ「認証局が発行した有効期限付きの証明書」をインストールすることで、「証明書が入った端末のみ利用可能」とする認証強化を実現できます。

一度インストールしてしまえば、有効期限が切れるまでは、追加の手間に煩わされることなく認証強化できる方法です。従業員が利用するデバイスを特定できる場合(例: 会社配布PCと会社配布スマホのみ認証許可)は特に有効な方法です。

6.ステップアップ認証(リスクベース認証)

以前に利用したことがない環境からのアクセスの場合、追加の認証を要求する方法です。例えば、普段とは異なる「ナイジェリアのIPアドレス」からアクセスがあった場合、ID・パスワード認証に加えて、ワンタイムパスワードを要求するといった仕組みです。

ステップアップ認証では、普段利用している環境からのアクセスの場合、追加の認証は要求されないため、追加認証のために一手間かける必要がなくなります。

7.IPアドレス制限

認証要求が「どのIPアドレスから来たか」で、認証を許可するかブロックするかを決める方法です。具体的には、「ブラックリスト」と「ホワイトリスト」の2種類の方法があります。

  • ブラックリストは「認証をブロックするIPアドレスを指定する方法」で、リスト記載のIPアドレスのみをブロックし、リストに記載されていないIPアドレスを全て許可する方法です。
  • ホワイトリストはブラックリストの逆で、「認証を許可するIPアドレスを指定する方法」で、記載がないIPアドレスは全てブロックされます。

「過去に不正アクセス試行があった不審なIPアドレスのみ拒否したい」場合はブラックリスト、「社内IPアドレスのみ許可したい」場合はホワイトリスト、といった具合で使い分けます。

 

各方式の特性を理解することが大切

上記で紹介した認証強化の方法はそれぞれ特徴(メリット/デメリット)があります。

例えば、「タッチ認証を行う場合はフィーチャーフォン(ガラケー)不可」「クライアント証明書を利用する場合は、(証明書がない)私用端末からの利用不可」「IPアドレス(ホワイトリスト)利用の場合は、都度利用のコワーキングスペースなどからの利用不可」といった具合です。

「この認証強化方法を利用すれば完璧」というものはありません。よって、組織によってどの方法が最適か、またどの方法を併用すれば何をカバーできるか、といった点を考慮して認証強化を進めるのがよいでしょう。

 


中山 ゆか(なかやま ゆか)

GMOグローバルサイン株式会社
トラスト・ログイン事業部 部長

GMOグローバルサイン新規事業部としてサービスの立ち上げを行う。
~全てのログインを簡単でセキュアに~をミッションに日々進化する
「トラスト・ログイン」で企業の成長を止めない環境づくりを目指す。


 

<バックナンバー>

Vol.1:IDaaSって何ですか?

Vol.2:IDaaSに必要な5つの機能を理解する

Vol.3:SSOの仕組みを理解する

 

関連記事

情シス求人

  1. 登録されている記事はございません。
ページ上部へ戻る