2020年、新型コロナウイルスは世界に暗い影を落とした。感染拡大が今もなお続き、国内でも第三波の到来で感染者数が急増している。このような未曾有の混乱のなかで、ウイルスによってPCを感染させるサイバー攻撃の被害拡大も大きな問題となっている。ハッカーの手にかかれば、意外と簡単に情報を盗み出されてしまうのがシビアな現実である。
そして、何よりも被害拡大の原因となるのが「パスワード」であるというのだ。そこで、被害拡大を阻止するためにパスワードレス認証を推進し、明るい時代に刷新するという比喩で“認証維新”を掲げ、クラウドサービスへセキュアにログインできるサービスを開発・提供しているのがインターナショナルシステムリサーチ(ISR)。同社を率いるメンデス・ラウル代表取締役社長に詳しい話を聞いた。

全ての始まりはウイルス感染から。巧妙化するサイバー攻撃

――企業を狙うサイバー攻撃が巧妙化しているといわれています。具体的に、どのような攻撃が多くなっているのでしょうか?

現在多発しているサイバー攻撃は、感染拡大が止まらない危機的な状況を呈している新型コロナウイルスと似ていると思っています。新型コロナウイルスは見えない未知のウイルスによって「人」が感染し、最悪の場合には死に至ることも。重症化した人は隔離され対策がされる一方、無症状の人もいるため感染拡大が止められず、国内でも第三波がきています。

サイバー攻撃も同様です。見えないウイルスによって「PC」が感染し、最悪の場合には企業の重要な情報が漏洩、身代金を要求されるといった被害が出ています。代表的なサイバー攻撃がAPT攻撃(Advanced Persistent Threat=持続的標的型攻撃)(※)です。

※APT攻撃は、機密情報をもつターゲットに目的を絞り、被害を受けていることがわからないようにひそかにカスタマイズした攻撃を仕掛けてきます。そのため、企業の情報資産となる顧客データや製品情報を管理するIT管理者や役員などの個人が狙われ、心理的な隙や行動ミスにつけ込んできます。例えば、SNSの友人からメッセージが届いた体裁を装い、ウイルスが入れ込まれたメッセージを開封するとPCに侵入され、そこから企業の機関システムにも不正アクセスを企てるというのが手口の一例です。

多くのリモートワークでは、企業管理のPC端末を自宅で利用していると思いますが、APT攻撃はOSやソフトウェアなどのプログラムの不具合や設計上のミスなどのセキュリティ上の不具合として修正プログラムがいまだ提供されていない「ゼロデイ脆弱性」を突いてきます。そのため、対策がなされる前に感染して乗っ取られてしまえば、標的とされたIT管理者や役員がPCで操作する全ての情報が攻撃者の監視下となるのです。

それだけではなく、企業の機密情報を保管するシステムへのアクセスを自社オフィス内のIPアドレスだけに制限するというセキュリティ対策を講じることなく、アクセスする認証にパスワードを使っていれば、いとも簡単に機密情報へアクセスされてしまいます。実際、パスワードを盗まれたことに起因するハッキングは全体の81%に達しているのです。

情報へのアクセスをパスワードで管理している限り、サイバー攻撃での被害拡大を阻止することは困難です。

――パスワードで被害が拡大しているとのことですが、実際のサイバー攻撃の事件を例に挙げて教えていただけますか?

米国で新型コロナウイルスの感染が初めて確認されてから、流行し劇的に広がった2020年3月、歴史上最も大きなサイバー攻撃が始まっていました。それが、米SolarWindsを悪用した大規模サイバー攻撃です。ファイア・アイ社に発見される2020年12月初旬までの9カ月間、検知されぬまま10未満の米政府機関のほか、米大手企業を含む1万8000社のネットワークに侵入し、情報やデータなどを外国にあるサーバーへ転送していたのです。

ファイア・アイ社のブログでは、SolarWindsというネットワーク管理ソリューションを提供する会社の主な製品であるOrionが動くWindowsサーバーを乗っ取り、サーバーにあるファイルなどの情報をOrionが監視するネットワークデータの中に隠し、国内サーバー経由で外国へ転送していたようです。

またニューヨーク・タイムズによると、今回SolarWinds社が侵入された原因としては、一人の従業員が利用しているMicrosoft 365のメールアカウントのパスワードが取られたことから始まり、Orion製品のソースコードの取得までネットワークにあるサーバーを完全に乗っ取られたとのことです。またハッカーは乗っ取った米司法省のADFS認証サーバーを経由して、クラウド(Microsoft 365)にある米政府機関高官のメールへアクセスを行なったとのことです。

このように、歴史上最も大きなサイバー攻撃となった事件は、取得された一つのパスワードから始まっています。まさにパスワードより危険なものはないのです。

パスワードを使わないことが、最善の予防策

――パスワードがサイバー攻撃の被害拡大の要因となっているとのことですが、どのような対策があるのでしょうか?

まずは、認証にパスワードを使わないということです。

新型コロナウイルスの感染拡大防止のため、みなさんがマスク着用や3密を避けるという対策をされていらっしゃると思います。また、開発されたワクチンが今後接種できるようになれば感染の予防策として明るい兆しが見えます。これはサイバー攻撃にも同じことがいえます。

日々巧妙化しているサイバー攻撃から絶対にウイルス感染しないということは難しいかもしれませんが、被害拡大を防止するには先述したように、その要因となるパスワードを認証に使わないことが最も重要です。また、生体情報を使ってログインができるFIDO2によるパスワードレス認証を利用することで、サイバー攻撃の被害拡大を防止することができます。

FIDO2とは、パスワードレス認証の技術開発と標準化を目的とする業界団体であるFIDO(Fast IDentity Online)Allianceが2019年にリリースした最新の認証技術です。パスワードとは違い、本人情報をデバイス内で確認し、その結果のみをサーバーに送るという仕組みになっているため、生体情報がネットワーク上に流出する恐れがありません。そのためFIDO2によるパスワードレス認証を利用することで、企業が保有する情報へのアクセスにおいて、被害の拡大を防ぐことができるのです。

――ISRでもFIDO2によるパスワードレス認証を提供されていますよね。どのようなサービスか教えていただけますか?

私たちISRはクラウドサービスへのアクセス制限とシングルサインオンを同時に実現するサービス「CloudGate UNO」を提供しており、2019年からはFIDO2によるパスワードレス認証も日本発で、世界初のクラウド型パスワードレス認証として提供しています。

2020年12月21日からはCloudGate UNOのすべてのプランにおいて、パスワードレス認証サービスの提供を開始し、みなさんが日常的にお使いのほぼすべての端末(Windows10、Android、iPhone、iPad)でもパスワードレス認証が利用できます。

また、Google WorkspaceやMicrosoft 365、Salesforce、Sansanなど100以上のクラウドサービスと連携し、たった一度の認証、それもワンタッチやワンクリックといった簡単な操作だけで様々なサービスにアクセスできるため、管理者はパスワードリセットなどの管理の手間がなくなりユーザーの作業効率の大幅な向上も期待できます。

インターナショナルシステムリサーチ(ISR)が提供する「パスワードレス認証」も可能なサービスの歴史。
メンデス・ラウル
株式会社インターナショナルシステムリサーチ代表取締役社長
米海軍大学院大学の数学科助教授としてスーパーコンピュータを用いた流体解析の計算を手掛けていたが、1987年に日本企業からのスカウトを受けて来日。その後、1993年にインターナショナルシステムリサーチ(ISR)を設立し、インターネットの黎明期から関連ビジネスに深く携わってきた。2008年にはGoogleの正式なパートナー企業と認められ、同年12月にはGoogle AppsのSSO(シングルサインオン)サービスとしてCloudGateを正式発表。2020年3月末時点で、約1600社・約80万アカウント以上のユーザーが導入している。在日歴30年超のメンデス社長は日本語を流暢に話すだけにとどまらず、日本史への造詣も深く、特に戦国時代や幕末に詳しい。日本をパスワードから解放する「認証維新」こそ、自らの天命であると捉える。

パスワードレスで今の日本に「認証維新」を起こす

――すでに菊正宗酒造、カシオ計算機、クボタをはじめとする約1600社がISRのサービスを導入していますね。他のパスワードレス認証サービスとは一線を画すCloudGate UNO独自の強みとしては、どういったことが挙げられますか?

一つは先述したFIDO2によるパスワードレス認証を提供していることです。FIDO2はマイクロソフト社も採用しており、これから事実上の世界標準となる技術であり、私たちはFIDO2認定を受け、世界初のクラウド型パスワードレス認証を2019年から提供しています。

そしてもう一つとしては、CloudGate UNOを提供する会社として、「全力でお客様の情報資産を守ること」を経営理念としていることがなによりの強みだと考えています。お客様がクラウドへセキュアにアクセスできるよう、私自身がお客様の情報資産を守ることにコミットする。そのため、FIDO2によるパスワードレス認証の採用はもちろんのこと、サイバー攻撃の進化に対応しながらこれまで育んできた技術はISRの強みであると考えています。

――日本をパスワードから解放し、明るい時代へと向かうという比喩で「認証維新」と掲げていますね。CloudGate UNOのパフォーマンスに対する注目度は高いものと思われますが、今後の目標を教えていただけますでしょうか?

今の日本で行っている認証は、幕末の頃の情勢と似ているように思います。海外からの攻撃も含め、パスワードによって、様々なハッキング攻撃も発生しているため、パスワードがなくならない限り、暗い時代は終わらないと考えています。例えるなら、鎖国を続けていた暗い幕末から明るい近代化へと変革した明治維新のような改革です。そこで、私は明るい時代に改革するという比喩で「認証維新」と掲げました。

今は暗いパスワード幕末時代から認証維新を起こし、パスワードの問題に対する非常に低い意識に、またセキュリティ意識に風穴をあける時だと考えています。そして、「認証維新」を起こすことができるのがFIDO2によるパスワードレス認証です。先述したように私たちISRでも、指紋や顔による生体も利用できるFIDO2によるパスワードレス認証を提供しています。

パスワードレス認証は新型コロナウイルスのワクチンのように「予防」の役割を担います。ワクチン接種によって、ここ半年ほどで明るい兆しが見えると予測する一方で、パスワードからの解放が本格的に始まるにはあと2年かかると考えています。2023年にWindows8.1のサポートが終了することで、Windows10のWindows Helloの生体認証は一般的に利用されるようになるでしょう。

そのためには、企業への目に見えない攻撃の被害拡大防止として、パスワードレス認証の重要性を訴求しながらも、2023年にはパスワードレスを当たり前に利用するサービスにし、日本企業の情報資産を守ることに全力を尽くしたいと思っています。