徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは：ITmedia Security Week 2023 冬

2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO（最高情報セキュリティ責任者）兼 EGセキュアソリューションズ 取締役 CTO（最高技術責任者）の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。

[宮田健，＠IT]

責任分界点、パスワード管理は“利用者側”にある

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ 取締役 CTO 徳丸浩氏

　企業ではクラウドの活用が当たり前となっている。総務省が公開している「令和4年通信利用動向調査」では、クラウドサービスの利用状況は年々伸びており、2022年には72.2％が「部分的にでもクラウドを利用している」と回答する。「場所を選ばず利用でき、資産、保守体制を社内に持つ必要がない」ことが、クラウドサービスを利用する理由の上位だ。

　しかし、課題は“セキュリティ”だ。SaaS（Software as a Service）ではクラウド事業者と利用者の間で「責任共有モデル」を取り入れており、データやアプリケーション、ユーザー設定などは、サービス利用者に責任範囲がある。

　「安全なパスワードを設定することや、認証のための設定は、利用者の責務だ。会社ではさまざまな人がサービスを使うが、それぞれが安全なパスワードを設定するかどうかに課題がある」（徳丸氏）

クラウドサービス事業者と利用者の責任分界点（徳丸氏の講演資料から引用）

認証を突破する、攻撃者のテクニック