パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #13/『認証』について、 今、知っておくべきこと(前篇)

近年、サイバー攻撃は高度化し、新たなマルウェアが次々に登場し、防御する側の企業・組織は非常に厳しい状況に置かれています。皆さんの組織でも、さまざまな対策を講じていらっしゃると思いますが、ここでは、ネットワークを使用する上で欠かせないセキュリティ対策の一つである「認証」について、最近の動向と注意するべきポイントについて解説します。

f:id:sky-pca:20191020115634p:plain

 

東京電機大学 サイバー・セキュリティ研究所:下道 高志

1982年慶應義塾大学商学部卒業。2014年東京電機大学後期博士課程修了。博士(工学)、AT&Tベル研究所と共同でUNIX国際機能を開発。外資IT企業にてJava、アイデンティティ技術の仕様策定・適用、クラウドAPIの策定等に従事。長年に渡り官民のセキュリティ対策の立案・実装に従事。近年ではマイナンバー、個人情報保護、プライバシー、GDPR等へのセキュリティコンサルティングを多数行う。警察庁総合セキュリティ対策会議委員、IPA Ruby標準化ワーキンググループ委員、総務省スマート・クラウド研究会技術ワーキンググループ構成員、ISO SC27/WG5エキスパート等を歴任。IPA情報処理安全確保支援士 倫理綱領制定委員会委員。CISA、CISM。

変化する認証方法

皆さんは、さまざまなインターネットサービスを利用されていると思います。最近、それらを利用するための認証方法が強化されてきたと感じられている方も多いのではないでしょうか。以前は、ID / パスワードだけ、そのパスワードは数字4桁という認証もありました。また、英数字8桁のパスワードにさえしておけば、どんなPCやスマホからでもログインでき、海外旅行先でも日本国内と同様に、問題なくサービスにログインして利用できていたのではないでしょうか。

しかし、最近ではパスワードが「英文字大小+数字+記号が必須で8文字以上」のケースや、いつもとは違うネットワークからログインしようとすると、SMS(ショートメッセージサービス)経由で確認コードを送られ、そのコードを入力しないとログインできない例が増えてきていると思います。さらには無理やりに認証強化を要求するサービスもあります。

皆さんもご存じのとおり、最近では個人のアカウントが乗っ取られ、不正使用や不正送金、さらには犯罪に巻き込まれるケースも出てきています。このような事態に対処するため、インターネットを通じたサービスを提供する企業は、さまざまな手段を講じています。その一つがサービスへの入口である「認証の強化」です。

認証が強化される背景

さまざまなメディアによって、サイバー攻撃や情報漏洩といった話題が毎日のように伝えられます。もちろん、高度なサイバー攻撃によるものもあるのですが、IDとパスワードなどの認証情報を窃盗し、それらを用いて不正アクセスを行うというものがほとんどです。

最近、国家公安委員会・総務大臣・経済産業大臣の連名で「不正アクセス行為の発生状況およびアクセス制御機能に関する技術の研究開発の状況」 という実態調査の報告書が出されました。同報告書では、不正アクセス行為は「識別符号窃用型」と「セキュリティ・ホール攻撃型」に分けられています。平成28年度においては、検挙件数462件のうち識別符号窃用型が457件を占めます。識別符号窃用と書くと難しく感じるかもしれませんが、簡単に言えばIDやパスワード等の認証情報の窃盗です。英語では、Identity Theft と呼ばれます。この457件の内訳を 図1 に示します。

f:id:sky-pca:20191025144253p:plain

図1 からわかるように、不正アクセス行為が成立している最大の要因は、「パスワードの設定、管理の甘さ」です。

図2 は不正に利用されたサービスです。もっとも多いのは、オンラインゲーム、コミュニティサイトとなっています。気軽に利用できるサービスで利用されている認証情報が、もっとも狙われているという構図がこの報告書から読みとれます。

さまざまな認証技術

それではまず、学術・技術的な定義から確認してみましょう。認証には3要素があるとされています。ここでは少しわかりやすく図3 に例としてあげます。

f:id:sky-pca:20191025145732p:plain

これらの中で、現時点でもっとも多く利用されているのは、Ⅰの知識(記憶)による認証であり、その中でもID /パスワードが多数を占めている状況については納得されることでしょう。その一方で、不正アクセス対策を強化するためのID / パスワードに加えて、もしくはID / パスワードに代わる、さまざまな認証方式が採用されるようになってきています。以下に、最近多く採用されているいくつかの方式をあげてみましょう。

(1)二要素認証

例えば、インターネットバンキングの振込時の番号表(暗証番号表と呼ぶ銀行もあります)やワンタイムパスワード(パスワードカード等で呼ばれる番号発生器や専用スマホアプリで発生させた一時的な番号)を利用する方法、生年月日や電話番号を入れる方法等、認証要素を追加して認証強度を上げる方法です。

(2)二経路認証

最近、非常に増えてきた方式です。考え方によっては(1)の二要素認証に分類されることもあります。ID / パスワードの初期設定や、認証環境が普段と違う場合(普段とは違うPCからの入力等)に、携帯電話のSMSやメールを通して一時的に生成した認証コードを送る方法です。仕組みを 図4 に示します。読者の皆さんの中にも、比較的最近のうちに、図5 のような画面とともに、iCloudの再設定を求められた方も多いのではないでしょうか(筆者も最近、体験しました)。

f:id:sky-pca:20191025145709p:plain

f:id:sky-pca:20191025145715p:plain

(3)リスクベース認証

今まで普通に利用できていたサービスが、国内外問わず出張先では認証できない、もしくは突然二要素認証を求められた、という経験をされた方もいるのではないでしょうか。システムが普段と違う環境と判断した場合(例えば地理的条件や普段は就寝の時間に認証しようとしている等)、二要素認証や二経路認証を求める方式です(セキュリティベンダーによっては「AIで判定」と評しているところもあります)。厳密には、認証方式ではなく認証環境の判断方式と言えます。

(4)生体認証

指紋・静脈認証等は、読者の皆さんもよくご存じのことと思います。先ごろ改正施行された個人情報保護法では、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」を個人識別符号としていますが、これは生体認証の要素そのものですね。

さらに政令では具体的に、表1のように定めています。

f:id:sky-pca:20191025145721p:plain

技術の発達に伴って、さまざまな「ヒトの情報」が識別情報、すなわち認証情報の要素となりえます。例えば表1であげた「ホ」は「歩容」と呼ばれますが、顔の特徴を利用した認証と同様、非常に高速なコンピューターが登場して初めて現実的なものとなってきました。さらに、最近では、NASAの研究所で働く日本人女性研究員が、歩容のように横からの画像ではなく、歩容の影を識別対象とすることによる認証技術を開発しました。これを表1の「ホ」とするのか、それとも新しい分類にするのか…法律で詳細に定義するスピードと技術のスピードの乖離を考えると、今の法制度の進め方について、個人的には疑問を呈さざるを得ません。

第14回/『認証』について、 今、知っておくべきこと(後篇)