弱いパスワード、使い回し……パスワードにまつわる永遠の課題
メールを送るにせよ、社内でファイルを共有するにせよ、外部のクラウドサービスを使うにせよ、何らかのシステムを使って業務をする際、必ず求められるのが「認証」だ。生体認証、パスワードレス認証などの方法も広がってきているが、やはり広く使われているのは「パスワード」を用いた認証だろう。
パスワードは、広く使われると同時に利用者を悩ませ、セキュリティ上の課題にもなっている仕組みだ。例えば、セキュリティ関連企業が定期的に公表している「よく使われるパスワード」を見ると、「123456」「password」といった、容易に推測できる文字列が必ずといっていいほど上位に入ってくる。こういったパスワードは、なりすましによる不正ログインの温床ともなっている。
そこで多くのシステムやクラウドサービスでは、なりすましが困難になるよう、文字や数字、記号を組み合わせてある程度の長さを持ったパスワードを設定するよう求めている。しかしこの仕様は、複数のシステムを使い分けなければならないユーザーにとっては負担だ。
ユーザーの負担を考慮せずにパスワードのルールを押しつけてしまうと、今度は「使い回し」のリスクにつながりかねない。ユーザーIDとパスワードのリストはサイバー犯罪者の主要なターゲットの1つで、盗まれたデータは「ダークウェブ」などで売買されている。もし、あるサービスで利用しているIDとパスワードを別のサービスでも使い回していた場合、流出したリストが悪用されて不正アクセスを受ける恐れがある。
付せんに書いてモニターに貼り付け、Excelやメモ帳で管理
一番の課題は、管理者側がこうしたリスクを認識していても、ユーザー側の意識がそれに追い付かない、あるいはユーザー側も理解しているが現実的に運用が難しいという現状だ。1人の従業員が利用するシステムは多岐にわたり、クラウドサービスの広がりがそれに拍車を掛けている。企業の規模にかかわらず、複数の、場合によっては二桁に及ぶ数のアカウントを使うことが一般化している。
GMOグローバルサイン トラスト・ログイン事業部の森 智史氏は次のように話す。「今なお、パスワードを記した付せんをモニターに貼り付けていたり、個人のExcelやメモ帳にまとめて保管したりしているという課題を耳にすることがあります。また、漏えいしたパスワード情報を見ると、弱いパスワード、推測可能なパスワードを使っている人はまだ多いように思います。かといって複雑なパスワードをシステムごとに振り分けてそれを暗記しておくというのも難しい。覚えられずにいちいちリセットを依頼していては手間ですし、情シス担当者も他の仕事を中断しなければいけなくなってしまいます」。
多数のアカウント管理、パスワード管理の手間を省く「シングルサインオン」
こうした課題の解決策の1つが、一度認証を経れば複数のシステムやサービスにログインできる「シングルサインオン」(SSO)だ。
シングルサインオンとは?(提供:GMOグローバルサイン)シングルサインオン自体の歴史は意外と古い。2000年代、自社で構築した複数の基幹システムやアプリケーションごとにアカウントを別々に発行していては手間が掛かり、しかも弱いパスワードが設定されがちだという課題を踏まえ、オンプレミスの環境を前提にしたシングルサインオンソリューションが登場した。ただ、構築にはそれなりのコストと手間がかかることから、導入できる企業は限られていた。
ここ10年あまり、クラウドサービスの広がりに伴いその状況は大きく変わった。オンプレミスに導入する大掛かりなシングルサインオンシステムに代わり、複数のクラウドサービスと連携してシングルサインオンを実現する「Identity as a Service」(IDaaS)が登場した。サービス自体がクラウドベースで提供され、より容易かつ低コストで使えるようになった。
IDaaSの特長は、SAML(Security Assertion Markup Language)認証に対応していることだ。単にパスワード入力を代行したり、Cookieに基づいて制御を行う仕組みとも違う。IDaaSはSAMLの仕組みの中で「Identity Provider」という役割を果たしており、ユーザー認証の結果に基づいて、「アサーション」と呼ばれる情報を生成してサービス側に渡す。そして各サービスはアサーションに含まれる認証情報と属性情報、アクセス権限情報などに基づいて適切な認可、アクセス制御を実現する。
利用者側のメリットは、マスターとなるIDでいったんIDaaSにログインすれば、ほかのサービスもシームレスに利用できる点だ。
「特にパスワードで認証している場合、パスワードの数を減らせば、その分管理も楽になり、漏れる危険性も少なくなります」(森氏)。さらに、IDaaSのログイン時にパスワード以外の認証方式として例えば「Windows Hello」を使った生体認証や、スマートフォンの通知を使ったプッシュ認証などを採用すれば、セキュリティをより高いレベルで確立できる。
次の章では、シングルサインオンで実現可能なことを具体的に見ていきたい。
"パスワード" - Google ニュース
September 07, 2020 at 05:00AM
https://ift.tt/3h6ik5W
シングルサインオンとは 増え続けるアカウント、負荷を増やさず安全な認証をする方法 - キーマンズネット
"パスワード" - Google ニュース
https://ift.tt/2P4UtbX
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment