ITpro Special
週間WEEKLY ITpro Special ITpro

生体認証で変わるIT利活用 | 萩原栄幸氏に聞く パスワードはもはや限界!企業セキュリティの新たな一手は?

萩原栄幸氏に聞く パスワードはもはや限界!企業セキュリティの新たな一手は? 日本セキュリティ・マネジメント学会 常任理事 萩原栄幸氏。2008年まで大手都銀のシステム部の先端技術の調査・研究室「テクノ巣」の責任者だった。現在では情報セキュリティ、内部犯罪調査、サイバー攻撃、そして近年は加えてクラウドやスマートフォン、ビッグデータ、SNSなどでも独自の検証を踏まえた執筆や講演活動を行う。金融ニュービジネス&テクノロジー研究会常任アドバイザー、ACCS(社団法人コンピュータソフトウェア著作権協会)の技術顧問、日本セキュリティ・マネジメント学会の「先端技術・情報犯罪とセキュリティ研究会」の責任者(主査)も兼務している。

クラウド、ソーシャル、モバイル、ビッグデータ時代を迎え、ITシステムの利用はますます広がり、高度になっている。そこでの“弱点”となっているのが、パスワードをベースとしたセキュリティ対策だ。多くのシステムが本質的に抱えている脆弱性をいかに認識し、どのような備えを始めるべきなのか。コンプライアンスや情報セキュリティに詳しい萩原栄幸氏に話を聞いた。

“パスワードクライシス”の時代にどう対応するか

情報システムのセキュリティは、基本的にIDとパスワードを組み合わせたユーザー認証が基本だ。IDは社員番号など本人以外も周知の情報が使われていることも多く、その意味ではパスワードにすべてを頼っている状況だ。

ところが、そうしたセキュリティ対策における最後の砦となっているパスワードが今、危機的な状況を迎えている。「私は“パスワードクライシス”と呼んでいますが、もはやパスワードは、破られることを前提に策を講じなければなりません」と説くのは、萩原栄幸氏である。

様々なシステムで標準的に使われている8桁パスワードを例にとると、そこで用いられる英数字や特殊文字の組み合わせは、約576兆通りになる。天文学的な数字のように思うかもしれないが、「最近のハイエンドPCを使ってブルートフォース攻撃(総当たり攻撃)をかけた場合、1秒あたりに600万~700万回のアタックをかけることが可能で、0.9年で解読できる計算になります」と萩原氏は指摘する。

ならば、3~6カ月のサイクルでパスワードを変更すれば破られるリスクが減るのではないかと考えるかもしれないが、決して油断はできない。ユーザーがパスワードなどを入力する際のキー操作や画面を盗み見る「ショルダーハッキング」といった、特別な技術や機器を必要としない原始的な手口もあるのだ。さすがに8桁のパスワードのすべてを一度に盗み見るのは難しいが、最初の3桁程度を陰から覗き見るだけなら決して無理なことではない。となれば、残りは5桁。「先のブルートフォース攻撃を当てはめると、わずか1分24秒で解読できてしまうのです」と萩原氏は警告する。

こうしてパスワードを盗み取った攻撃者は、いとも簡単に本来の持ち主になりすまし、情報にアクセスできてしまう。パスワードのみに頼ったシステムは、極めて脆弱であることを強く認識しておく必要がある。

金融機関でも広がるモバイルデバイス導入

一方、現在のビジネスにおいて、流れを止めることのできないITのメガトレンドとなっているのがモバイル活用だ。

スマートフォンやタブレットといったモバイルデバイスを活用し、ネットワーク経由で社内の業務システムやファイルサーバなどにアクセスできるようにすれば、オフィスに縛られることなく、いつでも、どこでも、仕事を遂行することが可能となる。その先で高まっているのは、単なる効率化の概念を超えて多様な働き方をサポートし、個々の社員のパフォーマンスを高めていく「ワークスタイル変革」への期待である。

一般的に保守的と思われている金融業界も例外ではない。「渉外用端末として、タブレットを大量導入する銀行や生命保険会社などが相次いでいます」と萩原氏。しかも、これはメガバンクのような大手に限ったことではない。「地銀は言うまでもなく、信用金庫や信用組合にいたるまで、モバイルデバイスの導入意欲が高まっています」と萩原氏は語る。

では、これらの企業がどうやってモバイルデバイスのセキュリティを担保しているのかというと、よく見受けられるのがシンクライアント化による対策である。モバイルデバイス本体に業務データを一切残さない仕組みにしておけば、仮に紛失したり盗難に遭ったりした場合でも、情報が漏えいする心配はないというわけだ。ただ、シンクライアントさえ導入すれば安心、というわけではない。いくら端末側にデータが残らないとはいえ、パスワードが漏れてしまえば不正アクセスや情報漏えいのリスクが格段に高まってしまう。

加えて、「情報漏えい事件は、正規なパスワードを持つ者による『内部犯行』が多いのも事実です」と萩原氏は指摘する。この点でも確実な本人特定ができないパスワード認証では、抑止効果として課題があると言わざるを得ない。どんな場合も「真に本人であること」を確認することができる、堅牢な認証ソリューションが求められる。