ページの先頭です

ページ内を移動するためのリンク
本文へ (c)

ここから本文です。

パスワード管理って、大切ですか?

ライター:渥美 淳一
セキュリティアーキテクトとして活動。変革し続けるニーズからセキュリティのあるべき姿を見極める。セキュリティには統合されたアイデンティティ基盤が欠かせないと考えている。

目次

みなさん、こんにちは。
2019年最大のショックといえば、サンマの不漁ですよね!?

消費税増税?そうですか。

パスワードリスト攻撃(不正入手したメールアドレスとパスワードの組み合わせでインターネットサービスへのログインを試みる攻撃)に加え、パスワードスプレー攻撃(攻撃対象のメールアドレスと世間でよく使われている「123456」や「password」などのパスワードを組み合わせてインターネットサービスへのログインを試みる攻撃)まで流行しはじめた今日この頃、いかがお過ごしですか?

前回までに、エンドポイントセキュリティ、ネットワークセキュリティ、クラウドセキュリティを紹介してまいりました。

これらのセキュリティ技術により、①危険なサイトにアクセスして手遅れになる前に通信を止めること、②組織内のデバイスを掌握し、怪しいデバイスを隔離すること、③暗号化された通信の中に潜む脅威を機械学習で「見える化」すること、④誰がどのクラウドサービスを利用しているのかを把握すること、⑤許可していないOffice 365テナントへのアクセスを止めること、ができるようになります。

さらに、インターネットやクラウドサービスを安全に使うために大切なことがあります。パスワードリスト攻撃などによって不正ログインされないことです。

そのために総務省は、企業・組織にとっての重要な対策として「安全なパスワード管理」を掲げています。また、以前まで常識とされていたパスワードの定期的な変更が不要となったのは、推測されにくいパスワードを使うことが何よりも重要なためです。不正ログイン対策の第一歩は、皆さん一人ひとりのパスワード管理から始まるといっても過言ではないでしょう!

詳しくはこちらです。
セキュリティ匠対談:「パスワード変更不要」の議論で考えるべきこと

また不正ログイン対策として、企業・組織では認証連携(フェデレーションともいいます)の採用が進んでいます。

① IDプロバイダーにログインする
② IaaSやSaaSほかインターネットサービスへのアクセス許可証が発行される
③ アクセス許可証を提出してインターネットサービスにアクセスできる

認証連携とは、IDプロバイダーと呼ばれるシステムやサービスでパスワードを一元管理し、インターネットサービスの代わりに利用者の認証処理をします。利用者はIDプロバイダーで管理されているパスワードだけを覚えればよくなります。インターネットサービスは認証処理をしませんので、パスワードを持つ必要がなくなります。これにより脆弱なインターネットサービスからパスワードが盗まれる心配がなくなり、パスワードリスト攻撃などを回避できます。認証連携の技術としては「SAMLプロトコル」がメジャーです。

詳しくはこちらです。
便利なSaaSをもっと安全に使うには?(番外編:SAML解説)

なんと、IDプロバイダーによっては、パスワードによる認証に加えて、スマートフォンを使って認証する多要素認証もサポートしています。最近では国際標準規格であるFIDO(Fast IDentity Online)を使った生体認証をサポートするIDプロバイダーもあり、パスワードを使わないログインも増えつつありますが、パスワードがいらない世界になるにはまだしばらくかかりますので、パスワード管理は大切です。不正ログインによって大切なモノが侵害されないよう、オンリーワンの素敵なパスワードを考えましょう!

私たちネットワンシステムズは、お客様の大切なモノを守るために、世の中に数多あるセキュリティ対策の中から、信頼のおけるものを調査し、検討し、検証し、比較し、導入、設計、構築、運用に深く携わることで経験とノウハウを積み重ねてきました。
パスワードを忘れて焦る日もありました。
妻の誕生日を忘れて焦る日もありました。
このブログでは、そういったエクスペリエンスを紹介していきたいと思います。長いような短いような人生、これからもお付き合いいただけますと幸いです。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

RECOMMEND