そろそろ多要素認証を考えよう - 三菱UFJ証券の顧客情報流出事件から考える。

こんにちは。
三菱UFJ証券の顧客情報流出事件に関して、識者の方がいろいろコメントしていますね。
今回の情報流出では、
データベースへアクセスする際にほかの従業員のIDとパスワードを使用し
証券各社がコメント:性善説のセキュリティ管理に限界――三菱UFJ証券の顧客情報流出 - ITmedia エンタープライズ
とあるように、他人のIDとパスワードを使用してデータベースへのアクセスをしています。
ここで、IDとパスワードは認証に使用されています。
ID管理の用語では、認証とは authenticataion を意味していて、
  • 認証(authentication)
    あるユーザが本当にそのユーザであることを証明する。
ということになります。
認証方式は認証にどういった情報を利用するかという観点から大きく3つの種類に分けられます。
  • あなたが知っていること(What You Know)
    パスワードや秘密の質問など。
  • あなたが持っているもの(What You Have)
    クライアント証明書やワンタイムパスワード
  • あなた自身(What You Are)
    生体認証(指紋、静脈、虹彩など)
の3つで、ID/パスワードはあなたが知っていること(What You Know)を利用する認証方式です。
ID/パスワードは技術的に導入が容易なこともあり古くから使われていて、利用されている領域も非常に広いです。
しかしながら、今回のケースのように、他人に推測されたり、盗み見られるなどして、不正に利用されるリスクもあります。
使用できる文字種やパスワードの長さに制限をかける(パスワードポリシーを設定する)などして推測されるリスクを下げることは可能ですが、それも完璧ではありません。今回のケースでも、おそらくパスワードはある程度の複雑性はもっていたかと思います。(最近パスワードポリシーを設定していないような企業はほとんどないので) しかし、不正に利用されてしまったのです。

極端な言い方をすると、ID・パスワードで認証を行なうことには、不正利用のリスクがある程度のレベルで存在します。
そのリスクを軽減するために、上記のあなたが持っているもの(What You Have), あなた自身(What You Are)といった認証のための情報を組み合わせ、複数の情報を認証に利用する、多要素認証というものが最近では非常に注目を集めています。

複数の要素を使用することでセキュリティを高めようと言うものです。
技術的な成熟もあり、生体認証や証明書認証などに対応している製品なども増えてきています。
ID・パスワードが悪いとは言いません。非常に秀逸なアイデアでこれまでのIT環境での認証を一手に引きうけてきたのは間違いありません。
ただ、そろそろ他の方法も検討する時期ではないでしょうか。多要素認証、より強度の高い認証は今年のキーワードです。

ぜひ一度、自社の認証方式について考えてみて下さい。

_kimimasa
投稿されたコメント:

コメント
  • HTML文法 不許可
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日