パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #14/『認証』について、 今、知っておくべきこと(後篇)

近年、サイバー攻撃は高度化し、新たなマルウェアが次々に登場し、防御する側の企業・組織は非常に厳しい状況に置かれています。皆さんの組織でも、さまざまな対策を講じていらっしゃると思いますが、ここでは、ネットワークを使用する上で欠かせないセキュリティ対策の一つである「認証」について、最近の動向と注意するべきポイントについて解説します。

f:id:sky-pca:20191020115639p:plain

 

東京電機大学 未来科学部 情報セキュリティ研究所:下道 高志

1982年慶應義塾大学商学部卒業。2014年東京電機大学後期博士課程終了。博士(工学)、AT&Tベル研究所と共同でUNIX国際機能を開発。外資IT企業にてJava、アイデンティティ技術の仕様策定・適用、クラウドAPIの策定等に従事。近年は官民のマイナンバー制度におけるセキュリティ技術立案・実装に従事。警察庁総合セキュリティ対策会議委員、IPA Ruby標準化ワーキンググループ委員、総務省スマート・クラウド研究会技術ワーキンググループ構成員、ISO SC27/WG5エキスパート等を歴任。ISACA東京支部アカデミックリレーションズ委員長。CISA、CISM。

利用者は何に注意すべきか

前回の記事のなかの図1で示したように、パスワードの設定・管理の甘さによる不正アクセスは、その半数以上を占めることから、まずパスワードの設定を見直す必要があるでしょう。ではどのようにパスワードを設定・管理すればいいでしょうか。

理論的には英文字大小+数字+記号を使って可能な限り長く、かつ、それが意味のない文字列とすれば、強固なパスワードとなります。しかし、それでは覚えられないため、時には付箋にパスワードを書き、目に届くところに貼っておく、という人もいるのではないでしょうか。危険極まりないが覚えられないとサービスを利用できないので仕方がないという人もいるでしょう。また、Webサイトごとにバラバラに設定していたのでは覚えられないので、パスワードはすべて共通にするという人もいるでしょう。そこでいくつか考えていただきたいポイントを示します。

(1)8文字以上かつ可能な限り大小文字と記号を混在させる。

いろいろな方法があるとは思いますが、 覚えるのに大変な文字列をわざわざ使う必要はありません。パスワードの文字列を選び出す方法として、歌や詩の一節や映画やスピーチから引用した一節を使ってみるのはいかがでしょうか。一節が長ければ、その中にでてくる単語を接続してみたらどうでしょう。例えば”Tree3_Sky4+”のような文字列であれば、忘れ難いのではないでしょうか。

(2)パスワード管理ツールを使う

賛否両論はあるでしょうが、ある特定のデバイス(PCやスマホ)で、さまざまなパスワードを集中して管理する。そうすればそのデバイスのパスワードだけ覚えればいいわけです。その代わり、そのデバイスのパスワードは、例えば15桁ぐらいの複雑なものにしてしまう。「そのデバイスをなくしたらどうするのか?」という質問を受けることがあるのですが、そのバックアップを自宅の内緒の場所にでもしまっておいてもいいのでは、と思います。これはパスワードの盗用をしにくくすることを最優先にする、という考え方です。

(3)シングルサインオン(Single Sign On : SSO)や二要素認証等、サービスが提供する強固な認証を利用する

SSOを利用することにより、(2)を代替させるだけでなく、インターネット上のさまざまなサービスをシームレスに使えるようになります。ID連携(アイデンティティ・フェデレーション)と呼ばれる技術です。同時に二要素認証が利用できるなら積極的に利用するよう心がけたいところです。信頼のおけるWebサイトに自分の認証情報を預けることで管理を楽にして、サービス利用時はシームレスで便利に使えるようになることが究極の目的です(このようなWebサイトをアイデンティティ・プロバイダ(IdP)と呼びます)。しかし最近、海外ではこのように信頼できるとされていたIdPがサイバー攻撃を受け、大量の認証情報が流出してしまったという事件がありました。

利便性の向上は、便利さと引き替えに必ず何かしらのリスクを伴うということを、筆者も身にしみて感じました。

(4)認証情報だけでなく、自分のPCやスマホ等で利用する認証情報が盗まれないように、フィッシングや不正プログラムへの対策を怠らない

f:id:sky-pca:20191014124837p:plain

図2 によれば、不正に利用されたサービスのうち、オンラインゲーム、コミュニティサイト、電子メールのサービスを合わせたもので70%を占めています。標的型メール攻撃やフィッシングによる認証情報の搾取もこのようなサービスをきっかけにするものが多いので、常に対策を見直し、強化していくことを忘れてはいけません。

管理者は何に注意すべきか

今まで、サービス利用者側からみた不正アクセスへの認証レベルでの対策を紹介してきました。次に企業システムの管理者が、システムを守るために認証システムをどう整備すべきかを考えてみます。

(1)ID / パスワード等の適切な設定・運用体制の構築

ここまで述べてきたように、攻撃者が不正アクセスを試みる場合、不正入手したID / パスワード、もしくは推測したID / パスワードを使用します。ですから、まずは簡単に推測されないようなパスワードを各人が設定するよう、企業内で徹底することが第一歩でしょう。その際、先ほどあげた歌や詩の一節や映画やスピーチから引用した一節を使う方法等を例示することも有効だと思われます。また、脆弱なパスワードに起因したセキュリティ事故の事例等を定期的に紹介することも有効な手段の一つだと思われます。

一方で、パスワードの定期的な変更は、最近では必ずしも勧められません。このように書くと、読者の中には驚かれる方もいるかもしれません。あれほど、「パスワードは定期的に変更するように」と言われ続けてきたのに、と。

理由は、パスワードの脆弱性を狙った攻撃、特に推測されやすかったり、短かったりするパスワードは、最近のコンピューターの性能向上により、比較的短時間に暴かれてしまう可能性が高くなったからです。定期的に変更を強制させると、利用者の多くは推測されやすいパスワードを使い回す傾向があり、結果として不正アクセスを成功させてしまう確率が高くなる、という考え方が多くなってきました(もちろんこの考え方に異を唱える研究者や企業も多くあります)。読者の皆さんも、1か月ごとにパスワード変更を強要されるとしたら、数個のパスワードを使い回そうとする人も多いのではないでしょうか。時代とともに技術が進化し外部環境も変化します。今までの当然とされていたセキュリティ対策も当然ではなくなる例の一つでしょう。

(2)ID管理(アイデンティティ・マネジメント)

最近は企業内部者による犯罪、すなわち内部犯罪も増加しています。認証され、職責に応じた権限付与がきちんとされていないシステムが多いのではないでしょうか。人事給与システムにはどのような人だけが利用でき(認証)、権限に応じてどの範囲の情報にアクセスできるか(認可)を想像してみてください。システムによって違いますよね。

最近は退職者による不正アクセスも増えているようです。

退職者のIDは即座に停止しなくてはいけません。退職者のIDを有効のままにしておいたために、認証システムを通して企業システムに侵入し、情報を搾取した犯罪も報道されているのはご存じだと思います。また、休職者のアクセスはどう取り決めているでしょうか?

IDは作成・有効化・停止・無効化・削除等を、きちんと管理しなくてはなりません。これをIDのライフサイクル管理と呼びます。企業内でIDのライフサイクル管理がきちんとできているかを点検する必要があるでしょう。

情報システムとしてのセキュリティの確保

システム全体が強靱になるよう、セキュリティポリシー策定が重要です。とはいっても大上段に構えることができない企業は多いと思います。まずは、フィッシングや不正プログラム、セキュリティ・ホール攻撃等、サイバー攻撃に対応するためにも、既知の脆弱性を排除するために、セキュリティパッチを適用することは必須です。

「インターネットへの接続に関するシステムのセキュリティ対策は万全だから、企業内システムはパッチを適用しなくてもいい」としている企業も多いと思います。また、安定運用されているシステムにパッチを適用することに不安を覚える担当者の方も多いと思います。

「そんなことはわかっている。しかしできないのだよ」と言われる企業の方も多いことは重々承知です。しかし、ベンダーも、そういう企業の状況をわかった上で、パッチの適用を口うるさく唱えるしかない、という状況であることも事実なのです。

先般、世界中で大きな問題となった、ランサムウェアによる被害を思い出してください。日本国内でも世界的な大企業が工場の稼働停止に追い込まれました。認証システムが突破された場合を考えると、認証システムの後方のシステムでの対策も必須です。入口のフロントシステムから企業が持つ中核情報をつかさどるバックエンドシステムまでの防御、すなわち多層防御が重要です。基本的なセキュリティパッチが施されていれば、どこかで食い止められる可能性は高まります。セキュリティ実装から運用体制、パッチ適用までを考慮し、セキュリティ・バイ・デザインの思考を持ってシステムを革新していく時期なのではないでしょうか。

怠ってはいけない!ログによる監視

今の時代、どんなに強固な認証システムを構築しても、攻撃者がその気になれば、いつかは不正にアクセスされると考えるべきでしょう。未知の脆弱性が存在する可能性もあります。この前提の下、利用者や企業の運用管理者は、覚悟を決めて最新の情報を入手するとともに、対策を施さなければなりません。システムの稼働状況や不正が行われていないかの継続的な監視が必須です。監視はルールに基づいて、採取したログを分析するべきです。ツールを導入しただけでは意味がありません。

経産省所管の独立行政法人情報処理推進機構(IPA)が発行している「「高度標的型攻撃」対策に向けたシステム設計ガイド」 の中でも、「従来、システム設計は攻撃の初期侵入を防止(入口対策)することを前提として行われていました。

高度標的型攻撃はこれを突破して内部に侵入し攻撃を拡大するため、対策の考え方も、内部への侵入を前提とした上で、「侵入拡大防止」および「監視強化」を目的としたシステム設計手法に変更(内部対策)していく必要があります。」と記載されています。ログを定期的に確認することは、システムの健康診断みたいなものであると考えるべきでしょう。


最後に… こぼれ話

本稿の締めとして、一つこぼれ話をご紹介しましょう。私がサン・マイクロシステムズに勤務していた時代のことです。

15年ほど前に、サン・マイクロシステムズの研究所の研究員だったディフィーとパスワード管理のディスカッションをしたことがあります。「ディフィーって誰?」と思われる方がほとんどでしょう。ディフィーとは、Bailey Whitfield Diffie その人です。まだわかりませんね? ディフィー&ヘルマンのディフィーです。まだわからないでしょうか? ディフィー・ヘルマン鍵共有を発明した2人の暗号研究者のうちの1人です。彼らがいなければ、今日のインターネットがこれほど安全にかつ便利に使えるようにならなかったことと思います!

私はディフィーに「君はパスワードをどうやって管理している?」と聞いたことがあります。彼は何と答えたと思われますか?? ディフィーはこう言いました……「ああ、パスワード? 大切だから、紙に書いて金庫にしまっているよ!」……あぜん。世の中こんなものなのか、と思った次第です。あれから15年。今聞いたら、ディフィーは何と答えるのでしょうか……(おわり)

【出典1】経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

【出典2】IPA「オンライン本人認証方式の実態調査」報告書について

【出典3】個人情報の保護に関する法律

【出典4】個人情報の保護に関する法律施行令

【出典5】西日本新聞「人影で人物を見分けます NASAの岩下さん開発 世界初、犯罪捜査など期待」

【出典6】日経BP社「パスワードの強制定期変更」は時代遅れ、企業に再考促す

【出典7】Oracle Corp.「 IDライフサイクル管理」

【出典8】Reuters「 ホンダ、狭山工場の操業を一時停止 サイバー攻撃でウイルス汚染」

第15回/Coming soon