「高度認証」を提案するベリサイン
「複雑すぎるパスワードポリシー」が生み出す問題とは
2011/03/10
「パスワードポリシーはますます複雑化し、ユーザーの大きな不満の原因となっている。再発行などに対応するヘルプデスクの手間、コストも大きい」――。
日本ベリサインは3月9日、認証ソリューションに関する説明会を開催した。米シマンテックのユーザーオーセンティケーション担当バイスプレジデント、アトリ・チャタジー氏は、パスワード認証にまつわる問題点をこのように指摘し、より強固で高度な認証が求められていると述べた。
米シマンテック ユーザーオーセンティケーション担当バイスプレジデント アトリ・チャタジー氏ベリサインは2010年9月から11月にかけて、フォレスターリサーチに委託し、企業における認証の現状について調査を行った。北米の306社を対象としたこの調査からは、パスワードポリシーがますます複雑化していること、それにともない企業のヘルプデスクの負荷およびコストが高まっていることが明らかになった。
例えば、回答企業のうち87%では2つ以上の、27%は6つ以上のパスワードを記憶しなければならない状態という。しかも66%の企業では、6つ以上の異なるパスワードポリシーが存在し、それぞれに応じたパスワードを作成し、記憶する必要があるということだ。この結果、当たり前といえば当たり前だが、企業の81%が、ユーザーが抱く最大の不満は「複雑なパスワードポリシー」だと回答した。
日本ベリサイン代表取締役社長の古市克典氏は、「複数のパスワードを使い分け、しかもそれらを定期的に変更しなければならないとなると、どうしてもパスワードを忘れてしまうものだ。ユーザーはヘルプデスクに問い合わせることになるが、実はヘルプデスクのコストの3割から5割が、こうしたパスワード関連の問い合わせ対応に費やされているという調査もある。それだけ余計なコストがかかっている」と述べた。
チャタジー氏は調査の結果を踏まえ、これまで「パスワードベースの保護で十分だ」という通説があったが、それは実態と乖離していると指摘。「パスワードポリシーはあまりに複雑化しており、実装が困難になっている」と述べた。
高度認証は「もう高くない」
ベリサインでは「SAFE(Strong Authentication For Enterprise:高度認証)」と呼ぶアプローチによって、パスワード認証が抱える問題の解決を図るという。
この仕組みでは、既存のパスワードによる認証に加え、「ワンタイムパスワード」「電子証明書」、そして「リスクベース認証」という3つの方式を組み合わせ、用途や環境に応じて選択できるようにする。パスワードは最も広く使われている手法だが、使い回しや詐取のリスクがあるうえに、前述した通り、運用上の負荷が大きい。これに対しSAFEでは、ニーズに合わせて適切な強度と使いやすさを備えた認証プラットフォームを提供するという。
まず、強固な認証が求められる用途には、端末固定も可能な電子証明書による認証を「ベリサイン マネージドPKIサービス」を通じて提供する。PCだけでなくスマートフォンなど幅広い端末から手軽に認証を行いたい場合は、「VIPオーセンティケーションサービス」によるワンタイムパスワード認証が利用できる。それでもなお残るMITM(Man In The Middle)攻撃などのリスクは、普段とは異なる時間、場所などからアクセスした場合に追加の認証を求めるリスクベース認証によってカバーする。同社はこれを、「VIPオンライン詐欺検出サービス」として提供している。
日本ベリサイン代表取締役社長 古市克典氏とはいえ、これまでパスワードが認証のクレデンシャルとして広く利用されてきたのにはもっともな理由がある。手軽で、何より低コストだからだ。一部の企業ではワンタイムパスワードをはじめとする高度な認証機構を導入しているが、コストや運用面の手間などから部分的な導入にとどまっていた。
「けれど、『高度認証はコストが高すぎる』という通説はもはや当てはまらない。この数年で状況は変わった」(チャタジー氏)。状況を変えた大きな要因が、モバイル機器とクラウドの普及だ。
これまでワンタイムパスワード認証を導入する際は、専用のハードウェアトークンを用いることが多く、それが導入、運用コストを押し上げていた。しかしVIPオーセンティケーションサービスでは、ソフトウェアトークンも利用できる。しかも「誰もが持っている携帯電話やモバイル端末でワンタイムパスワード認証を利用できる」(チャタジー氏)。これでハードルの1つが取り除かれた。
モバイル端末でのワンタイムパスワード認証には、1つの端末で複数のサービスを利用できるというメリットもある。「自分はこの携帯電話1つで、銀行やeBay、PayPal、シマンテックのVPNと複数のサービスにアクセスしている」とチャタジー氏は説明した。
なお古市氏によると、ベリサインではワンタイムパスワード認証機能をアプリケーションに組み込むためのSDKも提供している。これを活用すれば「アプリケーションに、バックエンドでワンタイムパスワード認証を行う機能を組み入れることも可能だ」(古市氏)。
高度認証へのハードルを取り除いたもう1つの要因は、クラウドの活用だ。認証基盤をベリサインが運用するクラウド側に置くため、企業は新たにシステムを追加することなく導入でき、運用の手間が減る。
モバイルとクラウド、この2つの要素を活用することで、「高度認証のコストは、この数年で大幅に下がった。40〜80%は低くできる」(チャタジー氏)。古市氏も、「応急措置的にやっている現在のパスワード運用コストと比べると、高度認証の方が優れている」という。
パスワードにまつわる問題の解決目指す
これからも、パスワードも認証手段の1つであることに変わりはない。ただ、「現状では、あまりにパスワードが多く、ポリシーが複雑すぎるために、かえって問題を生んでいる」(チャタジー氏)という。
例えば、1年前に米ニューヨークタイムズが掲載した記事によると、最もよく使われているパスワードは何と「123456」だったという。つまり、複雑すぎるパスワードポリシーにより、覚えやすい、つまり推測されやすい危険なパスワードが生み出されている状況だ。高度認証は、こうした問題の解決を目指したアプローチだという。
高度認証というと複雑な仕組みが思い浮かぶが、「実はわれわれはもうずっと以前から、高度認証を利用している。銀行のATMカードがそれで、現金を引き出すときには、カード本体と暗証番号が必要だ。つまり、自分が『持っているもの』と『知っていること』の両方がそろわないといけない」(チャタジー氏)。高度認証も基本はこれと同じことであり、それを使いやすい形で提供することで、パスワードにまつわるさまざまな問題を解決していきたいと述べた。
高度認証は、シングルサインオンやフェデレーションと組み合わせることで、さらに利便性が高まる。「入り口を1つにするのならば、そこを強固にしなければならない」(古市氏)、「フェデレーションの仕組みがうまく機能するには、高度認証は重要な役割を果たす。もしこうした機構がなければ、問題はより大きくなってしまうだろう」(チャタジー氏)。
ベリサインが高度認証で提供する3つの方式を比較すると、それぞれコストや使い勝手、リスクが異なり、トレードオフがある。どれか1つの方式を押し付けるのではなく、環境やニーズに応じて使い分けることができることも同社の特徴だという。「利便性とリスクは常にセット。利便性をなるべく損なわず、負荷を掛けずにいかにリスクを抑えるかを考えている」(古市氏)。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
