連載
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬
2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
責任分界点、パスワード管理は“利用者側”にある
企業ではクラウドの活用が当たり前となっている。総務省が公開している「令和4年通信利用動向調査」では、クラウドサービスの利用状況は年々伸びており、2022年には72.2%が「部分的にでもクラウドを利用している」と回答する。「場所を選ばず利用でき、資産、保守体制を社内に持つ必要がない」ことが、クラウドサービスを利用する理由の上位だ。
しかし、課題は“セキュリティ”だ。SaaS(Software as a Service)ではクラウド事業者と利用者の間で「責任共有モデル」を取り入れており、データやアプリケーション、ユーザー設定などは、サービス利用者に責任範囲がある。
「安全なパスワードを設定することや、認証のための設定は、利用者の責務だ。会社ではさまざまな人がサービスを使うが、それぞれが安全なパスワードを設定するかどうかに課題がある」(徳丸氏)
認証を突破する、攻撃者のテクニック
関連記事
- あの「オニギリペイ」に学ぶ、「セキュリティ要件準拠」でもインシデントが起きる理由
過去のセキュリティインシデントを教訓にセキュリティを意識する企業は増えている。だが、セキュリティ要件などを考慮して作られつつあるWebアプリケーションにも落とし穴があるという。「Cloud Native Week 2023夏」に登壇した徳丸 浩氏が解説した。 - カード情報漏えいやマルウェア(ランサムウェア)の歴史から徳丸氏が明かす「セキュリティはいたちごっこ」になる理由
ITmedia Security Week 2022夏のDay2「未来へつながるセキュリティ」ゾーンの基調講演で、EGセキュアソリューションズ CTO 徳丸浩氏が「『セキュリティはいたちごっこ』の本質とは何か」と題して講演した。 - 架空企業「オニギリペイ」に学ぶ、セキュリティインシデント対策
ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。
Copyright © ITmedia, Inc. All Rights Reserved.