有識者と討論 サイバー攻撃の最新手口と対策 有識者と討論 サイバー攻撃の最新手口と対策

サイバー攻撃が社会の大きな課題となっている。テレワークに対応するために企業が構築した新しいネットワーク環境の脆弱性を突いたり、巧みな言葉で人をだましたり、攻撃者は様々な方法で攻撃を成功させようとしてくる。アンダーグラウンドでは、攻撃をサポートするためのツールや個人情報も売買され、攻撃の組織化、巧妙化に拍車をかけている。では、企業や私たち生活者は、サイバー攻撃にどのように立ち向かうべきか。ここでは、IPA(情報処理推進機構)が毎年発表している「情報セキュリティ10大脅威」を有識者と共に分析しながら、今後の動向と対策を考えていく。
(聞き手 日経BP総合研究所 フェロー 桔梗原 富夫)

ユーザーが気付かないうちに本人確認 見えない多要素認証で利便性を向上

Vol.1 社会インフラやテレワークを狙う攻撃 ゼロトラストはまず組織の課題に向き合うべきVol.2 フィッシングの脅威トレンド ECサービスやアプリを狙った新しい攻撃手法とは?Vol.3 reCAPTCHAの課題 不正ログインを防ぐために必要な方針とは?

サイバー攻撃の増加や先鋭化を踏まえると、オンラインサービスにおける多要素認証の実装は避けられない。だが、ユーザビリティを犠牲にしすぎると、ビジネス機会を損失するリスクもある。安全性と利便性は、どう両立すればよいのか。

セキュリティの強化がビジネス機会の損失を招く

F5ネットワークスジャパン合同会社 SE本部 部長 岡本 裕治氏
F5ネットワークスジャパン合同会社
SE本部 部長
岡本 裕治

桔梗原技術開発だけでなく、人海戦術も使って効率化と高度化を図り、攻撃の成功率を上げる。2回目、3回目で解説いただいたサイバー攻撃の最新動向を通じて、社会がどんな脅威にさらされているのかを改めて実感しました。オンラインサービスを提供する事業者にとって、安全性の強化はますます重要な経営課題になりますね。

岡本ご指摘の通りです。インシデントによって信頼を損ない、ユーザーが離れていくようなことが起こったら死活問題です。

しかし、安全性を意識しすぎて、同様の結果を招く可能性も否定できません。セキュリティを強化した結果、サービスの利便性が大きく低下。使い勝手の悪さが原因でユーザーが離れていくというような事態です。

桔梗原確かに、セキュリティ強化とユーザーの利便性はトレードオフの関係だといわれます。

岡本SMS(ショートメッセージサービス)によるワンタイムパスワードの送信などは代表的な例ですね。ユーザーは、手元に携帯電話を用意し、制限時間内にパスワードを入力しなければならない。それくらいと思うかもしれませんが、一度ログインに失敗しただけで、別のECサイトでの購入に切り替えるというユーザーは確実にいます。ユーザーやビジネスのためにセキュリティを強化した結果、ビジネス機会を失ってしまうのです。こうしたこともあり、海外ではSMSを使った多要素認証の仕組みは不人気だといいます。

桔梗原ビジネスを守ろうとして、逆にビジネスを傷つけてしまうというのは皮肉です。

岡本ビジネスだけではありません。現在、小中学校では、PCやタブレットを利用した教育プログラムが導入され始めていますが、ここでも似たようなことが起こっているようです。

例えば、小学校低学年の児童にとって、デバイスや学習コンテンツなどにログインするためのID・パスワードを複数覚えておくのは簡単ではありません。仮に覚えられても、ログインに時間がかかってしまうと、限られた授業の時間を圧迫することになります。安全のための仕組みが、デバイスの有効活用をじゃましているわけです。

そこで、仕方なくデバイスにID・パスワードを書いたシールを貼るという、デジタルリテラシー教育とは反する運用を子どもに指示するケースも散見されると聞きます。

見えない情報を駆使して本人かどうかを確認する

日経BP総合研究所 フェロー 桔梗原 富夫
日経BP総合研究所
フェロー
桔梗原 富夫

桔梗原高い防御力や安全性だけでなく、利便性も両立するには、どのような方法が考えられますか。

岡本F5ネットワークスは、「Invisible MFA(Multi-Factor Authentication)」と名付けた考え方で、それをクリアしたいと考えています。

多要素認証を適用することは変わりませんが、ID・パスワードによる基本的な認証のほかに、アクセスしてきたデバイスのログインの成功や失敗の履歴、そのデバイスでは1人のユーザーのみでサービスを利用しているかどうかの一意性の確認、そのデバイスとログインIDで不正な操作が見られないか整合性の確認を行います。これらの「複数の要素」を組み合わせて、ユーザー本人が再アクセスしているかどうかを見極めます。こうした要素から、ユーザー本人の再アクセスと判断できる場合、不要かつ面倒な多要素認証の実行を減らし、ユーザーの利便性を向上できます。また高い確率でユーザー本人が再アクセスしていると判別した場合、ログイン後のセッション有効期限をデフォルトより長めに設定できることをアプリケーションの認証機構にレコメンデーションすることで、ログイン自体の回数を減らすことができます。パスワード入力の面倒さやパスワードを忘れてしまった時の煩わしさをユーザー側とサービス提供側の双方で軽減されることが期待できます。

桔梗原「Invisible(見えない)」要素を使って、ユーザーの意識しないところで多要素認証を実施するのですね。

岡本当社が提供する不正アクセス対策ソリューション「Shape Security」と保護対象アプリケーションの認証の仕組みを連携していただくことでInvisible MFAを実現していただきます。Shape Securityでデバイスなどから得られる要素を基に処理した結果をアプリケーションに渡しますので、アプリケーション側でいつもと同じ端末ということが確認できればそのまま通過させる。一方、いつもと違う端末によるアクセスを検知した場合は、SMSによるワンタイムパスワード認証を要求するなど、他の要素による認証にシフトして、再度、本人確認を行う。このような設計にすれば、一律に利便性を損なうことを避けられます。

図 Shape Recognizeによる「Invisible MFA」のイメージ

図 Shape Recognizeによる「Invisible MFA」のイメージ

ハードウエア、ソフトウエア、ネットワークの各レイヤのシグナル情報などに基づき、リピートユーザーであるかどうかを判断している

[画像のクリックで拡大表示]

金融機関を始め、多くの企業がShape Securityを採用

桔梗原不正アクセスに対応するだけでなく、利便性を意識した設計でサイバー攻撃の二次被害のようなリスクからもビジネスを守る。改めてShape Securityの特長や強みをご紹介ください。

岡本Shape Securityは、大きく3つのプロダクトで構成されています。

1つ目は、先ほど紹介したInvisible MFAで認証を簡素化する「Shape Recognize」です。見えない要素を駆使した多要素認証で、リピートユーザーのログイン時の操作の煩雑さを解消し、セキュリティを強化しながらオンラインサービスのUX向上に貢献します。

2つ目のプロダクトは「Shape Enterprise Defense」です。近年、拡大するボットを使った攻撃に対応するために、アクセスしているのが人かボットかを判別する仕組みを提供します。

そして3つ目が「Shape AI Fraud Engine」。ユーザーの行動をふるまい検知によって見張り、不正行為を発見します。

Shape Enterprise DefenseとShape AI Fraud Engineが、どのように最新の脅威に対応するかは連載の2回目と3回目でご紹介した通りです。

桔梗原Shape Securityの導入実績や評価についても教えてください。

岡本グローバル、日本国内を問わず、金融機関、航空会社、小売業など、幅広く採用されています。各業界の調査で売上トップ10にランクインするような、著名な企業が多数含まれています。「Shape Recognize、Shape Enterprise Defense、Shape AI Fraud Engineの各製品に相当する製品はあっても、3つの機能をトータルに提供してくれるサービスはほかにはない」と、多くのお客様に評価していただいています。

桔梗原十分な実績もShape Security の有効性の証ですね。連載を通じて最新の攻撃の悪質さ、対策の課題、そしてF5ネットワークスのShape Securityによる解決方法をお聞きしました。DXが進む中、生活者の暮らしは、もはや様々なオンラインサービスとは切り離せません。安全性だけでなく、利便性の両立も含めた対策を実装できるShape Securityは、社会を支える重要なテクノロジーといえそうです。

岡本ありがとうございます。今後も脅威の動向に目を光らせながら、新しい対策が必要になれば、速やかにShape Securityに追加し、サービスを利用するユーザーや提供する企業に安心をお届けしたいと思います。

お問い合わせ

F5ネットワークスジャパン合同会社
URL:https://www.f5.com/ja_jp/ContactFormJP