金曜日 4 10, 2009

そろそろ多要素認証を考えよう - 三菱UFJ証券の顧客情報流出事件から考える。

こんにちは。
三菱UFJ証券の顧客情報流出事件に関して、識者の方がいろいろコメントしていますね。
今回の情報流出では、
データベースへアクセスする際にほかの従業員のIDとパスワードを使用し
証券各社がコメント:性善説のセキュリティ管理に限界――三菱UFJ証券の顧客情報流出 - ITmedia エンタープライズ
とあるように、他人のIDとパスワードを使用してデータベースへのアクセスをしています。
ここで、IDとパスワードは認証に使用されています。
ID管理の用語では、認証とは authenticataion を意味していて、
  • 認証(authentication)
    あるユーザが本当にそのユーザであることを証明する。
ということになります。
認証方式は認証にどういった情報を利用するかという観点から大きく3つの種類に分けられます。
  • あなたが知っていること(What You Know)
    パスワードや秘密の質問など。
  • あなたが持っているもの(What You Have)
    クライアント証明書やワンタイムパスワード
  • あなた自身(What You Are)
    生体認証(指紋、静脈、虹彩など)
の3つで、ID/パスワードはあなたが知っていること(What You Know)を利用する認証方式です。
ID/パスワードは技術的に導入が容易なこともあり古くから使われていて、利用されている領域も非常に広いです。
しかしながら、今回のケースのように、他人に推測されたり、盗み見られるなどして、不正に利用されるリスクもあります。
使用できる文字種やパスワードの長さに制限をかける(パスワードポリシーを設定する)などして推測されるリスクを下げることは可能ですが、それも完璧ではありません。今回のケースでも、おそらくパスワードはある程度の複雑性はもっていたかと思います。(最近パスワードポリシーを設定していないような企業はほとんどないので) しかし、不正に利用されてしまったのです。

極端な言い方をすると、ID・パスワードで認証を行なうことには、不正利用のリスクがある程度のレベルで存在します。
そのリスクを軽減するために、上記のあなたが持っているもの(What You Have), あなた自身(What You Are)といった認証のための情報を組み合わせ、複数の情報を認証に利用する、多要素認証というものが最近では非常に注目を集めています。

複数の要素を使用することでセキュリティを高めようと言うものです。
技術的な成熟もあり、生体認証や証明書認証などに対応している製品なども増えてきています。
ID・パスワードが悪いとは言いません。非常に秀逸なアイデアでこれまでのIT環境での認証を一手に引きうけてきたのは間違いありません。
ただ、そろそろ他の方法も検討する時期ではないでしょうか。多要素認証、より強度の高い認証は今年のキーワードです。

ぜひ一度、自社の認証方式について考えてみて下さい。

_kimimasa

水曜日 6 25, 2008

【TechTipsの紹介】秘密の質問(パスワード忘れたときの質問)の有効化


こんにちは。
暑かったり、涼しかったりどうなっているんでしょう。。
さて、Tech Tips(設定メモ)を紹介します。 Question Login Settings - kimimasa - wikis.sun.comということで、秘密の質問(パスワード忘れたときの質問)の有効化の方法の設定メモです。
パスワードを忘れたときの質問(秘密の質問)はインターネット上のアプリケーションでは最近結構当たり前のようになってきたかと思います。Identity Managerでは有効化を行なうことでパスワードを忘れたときの質問(秘密の質問)をすぐに使っていただくことができます。
ユーザ自身がパスワードを忘れた際に自分自身で、パスワードを忘れたときの質問(秘密の質問)を使って、パスワードをリセット(変更)できるので、ヘルプデスクなどの工数が削減することが可能です。
Identity Managerではかなり前からある機能なので、パスワードを忘れたときの質問(秘密の質問)に関してもいろいろ柔軟に設定できて、かゆいところに手が届くかんじになっています。
例えば、
  • パスワードを忘れたときの質問(秘密の質問)を複数設定する。
  • 複数設定したうちのどの質問を表示するかをランダムに設定する
  • 質問に複数間違えるとアカウントをロックする
  • ユーザ自身が秘密の質問を考えられるようにする(回答だけではなく。)
などです。
ぜひ参考にして頂きお試しいただけるとありがたいです。わかりにくいとこやうまくいかなかったところなどありましたら、ブログかwikiにコメント頂ければは可能な範囲で対応させて頂こうと思っていますので、フィードバックもよろしくお願いいたします。

kimimasa's wikiIdentity Manager Tech Tips - kimimasa - wikis.sun.com にも追加しておきました。

ではまた。
_kimimasa
About

ID管理製品のプリセールスエンジニアやってます。

Search

Archives
« 4月 2014
  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
今日