当たり前のように使っている「IDとパスワード」。流出すれば大きな被害が発生すると分かっていても、その仕組みを変えることは難しい。だが、有識者は「最も大きな問題は『流出した事実に気付けないこと』だ」と指摘する。
IDとパスワードは「認証の基本」としてPCへのログイン、業務アプリケーションへのアクセス、クラウドサービスの利用など広く利用されているが、セキュリティ担当者の多くは「IDとパスワードのみの運用」に課題を抱えている。
同じパスワードの使い回しや平易なパスワードの利用をどうすればいいかといったセキュリティの面はもちろん、度重なる「パスワード忘れ」の対応など運用の負担をどう軽減するかも課題だ。従業員にとってもデメリットはある。テレワークによって利用するクラウドサービスが増え、それぞれ別のパスワードを設定し、覚えていなくてはならないのだ。その結果、同じパスワードを使い回してしまい、流出時の被害が拡大する危険性が高まっている。
「IDとパスワードに頼った認証は企業にとっての大きな脅威になり得る」と語るのは、WiSECURE Technologies(以下、WiSECURE)の眞塚 一氏(日本エリア担当)だ。
「VPNなどのセキュリティ機器がサイバー攻撃の被害に遭ってIDとパスワードが流出したインシデントや、初期設定のパスワードから変更していなかったせいでネットワーク機器が乗っ取られたというインシデントが発生している。もし管理者のIDとパスワードが流出すれば、大量の個人情報や重要情報の漏えいにつながり、企業としての信用を失うことになる。事業継続の点からも、IDとパスワードに頼らない認証の仕組みが必要だ」
こうした背景もあり、注目を集めているのが「パスワードレス認証」だ。
文字通りIDとパスワードを使わず、デバイス(USBキー、スマートフォンなど)や生体情報(静脈パターン、指紋など)を使って認証する方式で、代表的なものに標準化団体FIDO Alliance(FIDO:Fast IDentity Online)が策定する「FIDO」がある。
FIDOのプロトコルは、Webブラウザでアプリケーションのログインを認証する(オンライン認証する)「UAF」(Universal Authentication Framework)と2段階認証に対応した「U2F」(Universal Second Factor)、UAFとU2Fを組み合わせた高度なセキュリティを実現する「FIDO2」がある。
眞塚氏によると主要なWebブラウザでの対応は済んでおり、PCやAndroidスマートフォンのログインに利用されている例も多いという。欧米では、GDPR(一般データ保護規則)への対応やサプライチェーンでのセキュリティ強化などを背景に「FIDO2によるパスワードレス認証が急速に広がっている」と眞塚氏は語る。
「IDとパスワードによる認証で一番問題なのは『流出したとしても気付く手段がないこと』だ。なりすましを企業側で検知することは難しく、利用者側も悪用されない限り気付けない。企業、利用者双方にとって『気付いたときにはもう手遅れ』という状況だ」
「IDかパスワードのどちらかが無事なら大丈夫だ」とも言い切れない。サイバー攻撃(ブルートフォース攻撃、パスワードスプレー攻撃など)によってパスワードを特定される恐れがあるからだ。IDを特定する攻撃(リバースブルートフォース攻撃)もあり、油断はできない。眞塚氏は「この問題はテレワークにも影響がある」と指摘する。
「テレワークを導入する企業にとってセキュリティは最も気になる点だ。だが、前述したようにセキュリティ機器からIDとパスワードが大量に流出するインシデントは起きており、『IDとパスワードが漏れたら大変なのでテレワークは止めよう』と考える企業もあるだろう。テレワークは場所にとらわれない働き方を実現し、新しい人材の獲得や育成ができるのにIDとパスワードが理由でそれを中止してしまうのは企業にとって大きな損失だ」
一方で、パスワードレス認証の採用が広がっている欧米と比べて、日本ではアプリケーション開発者やサービス提供者の採用努力に頼っているのが現状だという。
「パスワードレス認証はユーザーの安全性を高めながら、利便性も向上できる素晴らしい仕組みで、既にさまざまなデバイスやアプリケーションで対応が進んでいる。だが、それでも導入が進まないのは、企業アカウントで利用する場合の実装に手間がかかる、投資コストが大きくなりがち、といったことが原因だ」
企業がFIDO2によるパスワードレス認証を業務に組み込む場合、「FIDO Authenticator」(認証器)と、認証器と鍵情報をやりとりする「FIDOサーバ」を準備する必要がある。眞塚氏によると一般的に認証器を提供しているベンダーと、FIDOサーバを提供しているベンダーは異なることが多く、別々に準備しなければならないという。
「IDとパスワードを廃止し、複数のベンダーとやりとりして新たな仕組みを導入するのは大変だ。しかも製品の組み合わせや利用者の数によっては数億円規模の投資が必要になる場合もある。セキュリティリスクが経営リスクにつながっている現状は理解していても、足踏みしてしまう企業は多い」
こうした課題の解決を支援するのがWiSECUREの「DPX」(Data Protection during/after eXchange)だ。DPXはFIDO2によるパスワードレス認証を手軽に導入し、業務アプリケーションで使うデータやファイルサーバのファイルを暗号化して安全にデータやファイルを扱えるFIDOソリューションだ。DPXは「FIDOソリューションパッケージ」「DPX暗号サーバ」「DPX Document Center Server」で構成されている。
FIDOソリューションパッケージは、認証器とU2F、UAF、FIDO2という3つのプロトコルに対応した「FIDOサーバ」を提供するパッケージだ。FIDOサーバはオンプレミスとクラウドの両方に対応している。DPX暗号サーバはDPXの暗号化処理を担う。ハードウェアレベルでセキュリティを保証するHSM(ハードウェアセキュリティモジュール)を使用しており、高いセキュリティを確保できる。そして、それらを統合管理するのがDPX Document Center Serverの役割となる。
DPXのプロトタイプは、「CryptoAir+」という認証器のみを利用しており、非常に強固な暗号化の仕組みを採用していた。眞塚氏によると「一般的な企業が利用するにはオーバースペックで導入コストが高かった」という。
「高いセキュリティを確保できても、セキュリティにコストがかけられない一般企業には導入が難しかった。半導体企業のTSMCに採用が決まったこともあり、さまざまな調整を行った。『Authtron Security Key』とモバイルアプリの組み合わせだけで利用できるようにすることで大幅なコストダウンと利便性の確保に成功した」
DPXには管理者用ユーティリティーツールや開発と導入のガイダンス、サンプルコードなども含まれる。OEM(Original Equipment Manufacturer)や開発ライセンスの契約を結べばソースコードとSDK(Software Development Kit)を利用できるため「自社サービスやアプリケーションにFIDO認証を組み込むことが可能だ」と眞塚氏は説明する。
「手間がかかるFIDOサーバと認証器の準備だけでなく、器材の相性テストもWiSECUREが対応する。別々のベンダーに発注するときに比べて低コストでFIDO認証を実装できる。FIDOを利用する側(クライアント側)とサーバ側の両方に対して包括的なパッケージを提供するセキュリティベンダーはグローバルで見てもかなり珍しい」
WiSECUREは、台湾を拠点にセキュリティチップなどのビジネスを展開してきたInfoKeyVault Technologyのノウハウをベースに設立された企業だ。「FIPS 140-2 レベル3」(FIPS:米国連邦情報処理規格)や情報セキュリティ国際評価基準「Common Criteria」のEAL5+(EAL:Evaluation Assurance Level)といった国家レベルで要求されるセキュリティを満たした製品を開発している。
「WiSECUREは、サイバーセキュリティの最前線で求められるレベルのセキュリティを一般企業でも使えるようにすることを目的に設立された。DPXも同様の目的で開発し、導入検討がしやすい価格とライセンスも用意した。DPXを導入すれば、一般企業でも手軽に高度なセキュリティを手に入れることができる」
テレワークのニーズが高まったことで、パスワードレス認証、データの暗号化、盗聴や情報流出の防止など、新しいセキュリティが求められている。WiSECUREが提供するさまざまなFIDOソリューションはそういったセキュリティ強化の助けとなるだろう。
なお、WiSECUREのFIDOソリューションは、2021年10月27日〜10月29日に幕張メッセで開催される「第12回 Japan IT Week 秋」に出展予定だ。眞塚氏によると「日本で初めてのお披露目」となる、DPXで提供される認証器などのハードウェアを直接確認できる。DPXを構成するハードウェアやFIDOを使ったセキュリティの仕組み、導入効果が気になる読者は参加してみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:WiSECURE Technologies
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年10月31日