無料会員登録
従来の認証 「パスワード」の根本的な問題
――私たちが日常生活で当たり前に利用しているパスワードのみに頼った認証には問題があるとされていますが、根本的にどのような問題があるのでしょうか。
時代は遡りますが、1960年代に認証技術の一つとして導入されたのがパスワードです。当時利用されていた端末はケーブルで大型コンピューターに繋がっており、コンピューターがケーブルでユーザー端末を特定できていたため、パスワードだけでも利用者の本人確認においては十分な認証方法となっていました。しかし、現在ではユーザー端末とサーバーは“自由な空間”にあるインターネットで繋がっているため、もはや本人であるかを簡単に特定できなくなっています。
ましてや昨今の新型コロナウイルス感染拡大の影響で在宅勤務が普及し、これまで社内で使われていたIPアドレス制限が利用できないため、自宅からクラウドサーバーへアクセスする際の制限を「パスワードのみ」の非常に弱い認証にしている企業が増えていることも起因しているかもしれませんが、これでは攻撃者の侵入を許可しているも同然です。実際にハッキングによる侵害のうち80%以上はパスワードが原因とされているのですから。
つまり、パスワードだけに頼った認証を使うということは新型コロナウイルスの対策として日本人が当たり前に着用しているマスクをせずに外出などして日常生活を過ごすことと等しいことなのです。
例えば、私たちはウイルス感染を防ぐためマスクを着用していますが、万が一、マスクをせずに会話をすれば自由な空間にある空気を使いコロナウイルスが飛び交い、飛沫感染を起こす可能性があります。しかし、会話をしている両者がマスクを着用していれば、例え一方が感染していたとしてもウイルスの侵入は難しいでしょう。マスクは物理的に“自由な空間”を制限してウイルスの侵入を守ってくれているのです。
――最近では史上最悪ともいわれるサイバー攻撃が起こっていますが、これもまた従来の認証が問題だとされている理由を教えていただけますか。
SolarWinds事件は17,000社まで影響が及んだとされている歴史上最大のサイバー攻撃であり、米SolarWinds社が利用していたMicrosoft Office 365の電子メールの侵害から始まっています。攻撃者は2019年9月に準備を始め、2020年3月にマルウェアを展開、そして2020年12月にファイア・アイ社に検知されるまでの9カ月の間、静かに企業のデータを盗み出し外国へ送信していたのです。
多要素認証(MFA)を導入していたファイア・アイ社が、攻撃者によって従業員のIDとパスワードを盗まれ、外部からVPNへアクセスする際に必要な追加認証要素となるスマートフォンの登録がされたことで検知していますが、社内ルールとして従業員が追加の認証要素となるスマートフォンを自己登録できないようにしていたものを、このときは例外的に登録できるようになっていたということです。
ここでの問題は、「パスワードのみ」の非常に弱い認証にしていたことが一つの原因となって引き起こされ、そして検知に至ってはMFAの要素までもが登録できるようになっていたということです。さらに登録設定を緩めたことによる『すき』を突かれて、攻撃者の侵入を許してしまっていたことも問題です。
社内からのログインであれば、パスワードだけでなくIPアドレスの確認などアクセス制限もかかりますが、リモートワークではパスワード中心の認証となるため、リスクが高まります。また、MFAを利用していても、コロナ禍で働き方を重視しすぎるあまりに社内ルールを緩めていてはいけないということもわかります。
これによって、米国では認証に対する認識を大きく変えるきっかけとなり、実際、世界的なクラウドサービス企業、Salesforceは2022年2月から自社クラウドサービスに直接、もしくは連携しているSSO(シングルサインオン)サービスでのログインにおいて、MFAを必須化することを発表しています。日本においても、このような取り組みをさらに加速させる必要があると考えています。
株式会社インターナショナルシステムリサーチ
代表取締役社長
米海軍大学院大学の数学科助教授としてスーパーコンピュータを用いた流体解析の計算を手掛けていたが、1987年に日本企業からのスカウトを受けて来日。その後、1993年にインターナショナルシステムリサーチ(ISR)を設立し、インターネットの黎明期から関連ビジネスに深く携わってきた。2008年にはGoogleの正式なパートナー企業と認められ、同年12月にはGoogle AppsのSSO(シングルサインオン)サービスとしてCloudGateを正式発表。2020年3月末時点で、約1600社・約80万アカウント以上のユーザーが導入している。在日歴30年超のメンデス社長は日本語を流暢に話すだけにとどまらず、日本史への造詣も深く、特に戦国時代や幕末に詳しい。日本をパスワードから解放する「認証維新」こそ、自らの天命であると捉える。
安全なMFAの利用はマスク着用と同様、ウイルスからの攻撃を防止する
――安全なMFAの利用がサイバー攻撃を防止することに繋がるとされていますが、まずMFAとは具体的にどのようなものがあるのでしょうか。
まず、パスワードだけで認証している場合、サイバー攻撃をしかける攻撃者も“自由な空間”にあるインターネットを悪用し、ユーザーになりすますことでサーバーへアクセスでき、簡単に攻撃することが可能になります。そのため、パスワードだけの弱い認証によって甚大な被害が出ていることもあり、現在では2つ以上の要素を組み合わせた認証方法であるMFA(多要素認証)の利用が少しずつ普及しています。また、2023年にはWindows8.1のサポートが終了するため、Windows10のWindows Hello(指紋認証または顔認証を使ってパスワードを入力せずにWindowsにサインインできる認証機能)を利用する人が一気に増え、パスワードレス認証が普及するでしょう。
ISRではパスワードレスの普及を目指しているものの、パスワードレス認証にすぐに切り替えることは容易ではないため、まずは安全性の高いMFAを推奨しています。「安全性の高い」としているのは、一概にMFAといってもどの要素を組み合わせるかによってセキュリティレベルが異なるためです。
最近では「パスワード+SMS(ショートメッセージサービス)もしくはOTP(ワンタイムパスワード)」を使用するMFAが一般的になりつつあり、これはパスワードのみの認証よりは確かに安全なのかもしれません。しかし、OTPについてはパスワード入力画面と同じ画面に入力するためフィッシング攻撃の対策としては不十分と言えますし、またSMSを用いるMFAについては、実際に2016年の米国大統領選挙でDNC(米民主党全国委員会)が導入しましたが、突破されています。
――安全なMFAとして、貴社サービスのCloudGate Authenticator(CGA)やFIDO2を利用したMFAを挙げられていますが、なぜ安全なのか教えていただけますか。
生体情報を用いたスマートフォンアプリによるMFAであるCloudGate Authenticator(CGA)、またセキュリティキーを含むFIDO2に対応した認証器を用いるMFAが安全な認証方式であると考えています。
それは、FIDO2が2つのステップに認証を分けていること、そして公開鍵暗号方式の認証を採用しているからです。また、CGAも2経路によるMFAとなり、通信についてはFIDOと同様に公開鍵暗号方式での認証を採用しているからです。
最初のステップであるユーザーの確定は、ユーザーの手元にある端末の中に内蔵されているハードウェア認証器で行います。認証器は、マスクのような役割として物理的にインターネットからのアクセスを制限するため、攻撃者によるユーザーのなりすましといった攻撃から守ってくれます。
2つ目のステップでのユーザー登録がされた端末の確定では“自由な空間”であるインターネット上で行うものの、「公開鍵暗号方式」を用いるため、まるで端末とサーバーが専用的なケーブルで接続されているような状態になり、攻撃者が入りにくいという特性があります。
また先に挙げたOTPなどのMFAとは違いネットワーク上に情報が流れないため、攻撃者は認証データを改ざんすることが難しく、フィッシングや中間者攻撃に強い耐性があります。
安全なMFA利用の文化を根付かせることは、経営者の役割
――安全なMFA利用の文化を根付かせるには、リーダーである経営者の役割が重要だとしていますが、具体的にどのようなことが必要になるのでしょうか。
サイバー攻撃から日本を守るためには、パスワードのみの認証が主流となっている今の文化を変える必要があります。そして、変えるためにはリーダーである経営者の決断が重要だと考えています。
新型コロナウイルスでの感染拡大阻止としてマスク着用文化が欧米と日本にどのような影響を及ぼしたかで例えれば、2020年3月から新型コロナウイルス感染が急激な勢いで広がった当時、欧米と日本での重症者や死者レベルは桁違いでした。これには様々な要因があると思いますが、なによりもマスク着用文化が日本国内で根付いていたことが密接に関係していると考えています。
これと同様に、サイバー攻撃から企業を守るためには、経営者がパスワードだけに頼った認証の利用を廃止し、できるだけ早くMFAを導入することが必要です。日本の企業はパスワードだけの認証を長らく利用していたため、このパスワード文化をすぐに変化することは難しいとされていますが、まずは経営者自身が率先してMFA利用の文化を社内に根付かせていくことで変えられると考えています。
その上で重要なのは、企業の経営者自らが先頭に立ち、全社MFA導入プロジェクトとして始動し運営することです。会社経営陣が中心となってMFA利用を開始し、全社的に浸透させていくといった流れで運営していくことがMFA利用の文化を社内に根付かせるポイントだと考えています。
――経営者がまずはMFA利用を始め、全社的な導入が必要とのことですが、MFAを選択するときのポイントを具体的に教えていただけますか。
先に挙げたように、MFAでも様々なセキュリティレベルがあります。経営者はコストパフォーマンスのあるソリューションを選択しなければいけませんが、何よりも安全なMFAを選択するということが一番重要なポイントです。また、利用するMFAはユーザーを安全に特定できているか、生体情報を用いた認証が行えるかどうかなどもポイントです。
さらにMFAベンダーがどのような経営理念や想いでサービス提供をしているかを見極めることも非常に重要です。お客様の情報資産を守ることに対してどれだけ真剣に考えているのか、またベンダー自身がどれだけ安全なサービス運用をしているのかという点も踏まえ検討することが肝要かと考えます。
今の日本に認証の概念を変革する「認証維新」を起こす
――まずは、安全なMFAを提供しているISRのサービス「CloudGate UNO」の特長を教えていただけますか。
「CloudGate UNO」は、シングルサインオン機能とクラウドサービスへのアクセス制限・アクセスコントロール機能、パスワードレス認証という3つの機能を併せ持ち、より安全・便利に各種クラウドサービスが利用できるようになるサービスです。最大の特長は、安全で便利なMFAの一つとして世界初のクラウド型パスワードレス認証(FIDO2に対応したパスワードレス)を2020年12月から全プランで提供していることです。
現在、約1600社に導入していただいていますが、安全なMFAを利用している企業はまだ多くはないため、今後は導入企業に対し、MFAへの切り替えを促していく方針です。さらに、自社の情報資産を守るということに対して重要な役割を担う経営者様への訴求も行なっていきます。
――メンデス社長は、従来の認証からの転換を、明治維新に例えて「認証維新」と呼んでいます。その狙いと今後の目標について教えてください。
当面の間、在宅勤務は続いていくでしょう。急速に変化する働き方とともに、激化するサイバー攻撃を防止するための認証もまた急速な変化が求められています。これは短期間に国の在り方を変え、近代化を成し遂げた明治維新の情勢に似ていると思います。パスワードがなくならない限り、多様化・高度化するサイバー攻撃の脅威に怯える暗い時代は終わらない。そうした時代を終わらせ、明るい未来を拓くという意味で「認証維新」を掲げました。
経営理念「全力でお客様の情報資産を守る」は、当社だけではなく、顧客情報を扱うすべての企業、そして経営者の責務だと考えています。当社では「CloudGate UNO」を通して安全で便利なMFAを提供し続けることによって、サイバー攻撃から日本の情報資産を守ることに貢献したいと考えています。
これまで述べてきたようなISRの取り組みを一般の方々にも認知していただけるよう、近代日本の誕生に大きな役割を果たした坂本龍馬になぞらえたイメージ広告を用いるなどして世の中の意識改革も行っています。
2023年にはWindows8.1のサポートが終了するため、Windows10のWindows Hello(指紋認証または顔認証を使ってパスワードを入力せずにWindowsにサインインできる認証機能)を利用する人が一気に増えることも、パスワードレスの追い風になるでしょう。その頃にはパスワードレス認証の時代になるよう、全力を尽くしていきます。
