ここ数年、リモートワークの普及によりクラウドサービスの利用が増加し、DX（Digital Transformation）に向けた動きがますます加速しています。その一方で、システムの脆弱性や設定不備等の人為的ミスを狙ったサイバー攻撃も増加し、その攻撃方法は年々巧妙化していると言われています。最近では中小企業がターゲットになるケースも増えてきており、改めてセキュリティ対策について見直す必要があると考えられている方も多いのではないでしょうか。
本編では環境の変化や攻撃者の手法から見える認証強化の必要性について解説します。

ビジネス環境の変化

昨今の新型コロナウイルスの感染拡大に伴い、多くの企業がリモートワークを導入したことで働き方に大きな変化が生じました。認証はそのような環境下でも安全に業務を行うために重要な役割を果たしていると言えます。
総務省の調査報告書によると、コロナ禍でクラウドサービスの利用企業の割合は全体の70.4%になったという結果も出ており、ここ数年で新しい働き方に対応できるクラウド化が一気に進んだことが分かります。

出典：総務省（令和3年通信利用動向調査）
https://www.soumu.go.jp/johotsusintokei/statistics/statistics05a.html

サービスを安全に利用するためには認証が必要不可欠ですが、現在インターネットの利用人口は世界で約44億人と言われております。認証とはその中の特定の個人を証明するログイン手段であり、以前から多くのビジネスシーンで採用されてきましたが、クラウドサービスの利用増に比例して管理するID・パスワードも増えることになりました。

セキュリティ侵害の実態

• 毎週100万件のパスワードが盗まれている
• データ侵害の平均被害コストは435万ドル(約5億9500万円)
• 情報漏洩の約8割はパスワードの窃取によって発生している

一方、グローバルでは毎年このようなレポートも上がっており、攻撃対象の拡大は攻撃者にとって好都合と言わざるを得ません。つまり、クラウド化の便利さの裏側には認証におけるリスクが潜んでいるということです。万が一、十分なセキュリティ対策をしていない場合、ネットワークへの不正アクセスや機密情報の漏洩等、その被害はひとりのユーザーだけに留まらず、企業としての社会的信用の失墜、業務停止などの甚大な被害が出ることになります。
このように、新しい働き方が浸透しつつある今、認証は企業全体の情報や資産を守るために不可欠なものなのです。

固定パスワードのリスク

前述した通り認証の中で一般的に使用されているものがIDと固定パスワードによる認証です。これらはインターネットの初期から広く使われている一方で、窃取により外部に漏れてしまう等のリスクもあります。
実際、近年の不正アクセスや情報漏洩の多くがブルートフォース攻撃(※1)や辞書攻撃(※2)により認証を突破されることで発生しています。

従来これらの対策として定期的なパスワードの変更はセキュリティ上有効であると考えられてきました。しかし、近年はパスワードの変更を強制的に行うようにしたとしても、覚えやすいパスワードを設定してしまうという調査結果も出ています。更にパスワードの使いまわしをしていた場合、一度パスワードが盗まれてしまうとパスワードリスト攻撃(※3)を受け被害が拡大するリスクもあります。
このことから、従来の固定パスワードでの認証ではセキュリティ対策が十分だとは言えないのです。

※1 ブルートフォース攻撃（総当たり攻撃）
使用可能なすべての文字列をツールを使って入力する手法（例：11111、123456）

※2 辞書攻撃
辞書に載っている単語や人名などパスワードに使われやすい文字列をツールを使って入力する手法（例：password、football、iloveyou）

※3 パスワードリスト攻撃
何らかの方法で入手したパスワードのリストを元に複数のサイトにログインを試みる手法。

認証強化による効果

従来の認証方式では、巧妙化が進む昨今のセキュリティ対策としては不足、またパスワード管理が煩雑になりやすい等の運用上の課題もありました。そこで、企業にはより強固な認証が求められています。認証を強化することで、従来の固定パスワードに比べて格段に認証突破が困難になると言われており、セキュリティ対策には非常に有効です。
Googleの調査によると、”不審なログインが検出された場合、端末ベースで追加の本人確認を行うと、ボット攻撃・フィッシング攻撃・標的型攻撃の約90～100％を防ぐことができた“という結果も出ており、このことからも認証強化は効果的だということは明らかです。

出典：Google Japan Blog（アカウントの不正利用を防止する基本的な方法とその効果）
https://japan.googleblog.com/2019/05/new-research-how-effective-is-basic.html

認証強化のポイント

認証強化するにはいくつかの方法がありますが、その中でも注目されているのがMulti-Factor Authentication（多要素認証、略称でMFA）となります。
認証には3つの要素（知識情報・生体情報・所持情報）があり、これらを２つ以上組み合わせる認証方式をMFAといいます。

●認証の３つの要素
　知識情報：本人しか知らない情報（例：パスワード、秘密の質問）
　所持情報：本人しか持っていないもの（例：ICカード、トークン、SMS）
　生体情報：生物固有の情報（例：指紋、顔、静脈）

複数の認証を組み合わせることで、万が一攻撃者にパスワードを不正入手された場合でもその他の要素により認証突破が困難になり、なりすましや不正アクセスのリスクを大幅に減少させます。
このように、MFAはパスワード管理の負担も軽減しながらセキュリティレベルを向上できるためニーズが高まっています。最近ではゼロトラストという考え方に則り、MFAが義務化された例もあり、ますます注目される認証のひとつです。

まとめ

クラウド化が進みさまざまなリスクが懸念される中で、これまでのID・パスワード認証では安全に情報を管理することが難しくなってきました。会社の情報や資産を守り安全な運営をするために認証強化は企業の急務だと言えます。是非自社に合った認証強化をご検討ください。次回はMFAについて詳しく解説したいと思います。

当社では世界でも数多くの企業で導入されているMFA（多要素認証）製品を取り扱っております。詳細はこちらをご確認ください。