1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 終わりのない「イタチごっこ」から脱却する!“後付け”とならないためのセキュリティ対策

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

終わりのない「イタチごっこ」から脱却する!
“後付け”とならないためのセキュリティ対策

記事の要約

  • 全社的・組織横断でとらえるべき経営問題となった、サイバーセキュリティ。根本的原因は、パスワードに代表される“後付け”のセキュリティ対策。
  • 今後のIoTの普及を見据え、また、マイナンバー制度への対応を好機として、“設計”段階からセキュリティ対策を見直すべき時。
  • 今後のセキュリティ対策の主流となる、生体認証を実装したスマートデバイス。なりすまし防止や利便性向上に加え、IT活用のさらなる進化が期待される。

全文を読む

齋藤ウィリアム浩幸氏に聞く
内閣府参与 科学技術・イノベーション担当
株式会社インテカー 代表取締役社長 齋藤ウィリアム浩幸氏
1971年カリフォルニア生まれの日系二世。暗号、生体認証、サイバーセキュリティの専門家。カリフォルニア大学在学中にI/Oソフトウェアを設立。2004年に会社をマイクロソフトに売却後、2005年からは拠点を東京に移し、インテカーを設立。コンサルタントやベンチャー企業への資金援助を行う。

サイバーセキュリティの問題は解決に向かうどころか、ますます深刻なインシデントやアクシデントを引き起こす重大な脅威となっている。その根本的な原因は、“後付け”のセキュリティ対策を繰り返してきたことにある。攻撃と守りとの終わりのないイタチごっこから抜け出すには何が必要なのか。国内外のセキュリティガバナンス&マネジメントに深い見識を持つ齋藤ウィリアム浩幸氏に聞いた。

サイバーセキュリティは全社的な経営問題に

サイバーセキュリティは長年にわたるITの課題だが、ここにきて世間の見方が大きく変わり始めた。以前であれば、サイバー攻撃によって被害を受けた企業には、世間から同情が寄せられたものだ。ところが昨今では、批判の的にされるのは攻撃者よりもむしろ、みすみす餌食にされてしまった企業側である。

セキュリティの脅威を認識できておらず、起こったインシデントに対して的確なリーダーシップを発揮できなかったCIOが解任されたり、そうした企業が消費者から突き上げられたりといった事態が、世界の至るところで起こっている。サイバーセキュリティに対してどのように向き合っているのか、企業の姿勢そのものが厳しく問われる時代となった。

齋藤ウィリアム浩幸氏は、「そういう意味でも現在のサイバーセキュリティは、もはや情報システム部門だけで手に負えるものではなくなっています。米国企業などではCRO(最高リスク管理責任者)を置き、全社的・組織横断でとらえるべき経営問題となっています」と示唆する。

“設計”からセキュリティ対策を見直すべき

そもそもサイバーセキュリティは、なぜ現在のような複雑なインシデントやアクシデントを引き起こす脅威になってしまったのだろうか。「根本的な原因は、“後付け”のセキュリティ対策を繰り返してきたことにあります」と齋藤氏は説く。

元々ビジネス利用のことなど想定せずに構築されたインターネットの上で、企業はWebサイトやeコマース、クラウドなどのITインフラを次々に展開してきた。結果として個人情報や機密情報など、ますます秘匿性の高い情報が扱われることになった。「それをどうやって守っているかというと、依然として基本的な拠り所としているのはパスワードです。この仕組みをどんなに強化しても、サイバー攻撃とのイタチごっこから抜け出すことはできません」(齋藤氏)。

また、本来のセキュリティ対策は、「堅牢性(安全性)」「コスト」「利便性」の三つの要素の最適バランスで考えるべきものだが、パスワードに代表される“後付け”のセキュリティ対策は、このバランスをどんどん歪な形にしてしまう。

パスワードで「堅牢性」を高めるためには、できる限り複雑かつ無機的な長い文字列を設定すると同時に、システムごとに複数のパスワードを使い分ける必要がある。だが、それでは人間の記憶の限界を超えてしまい「利便性」は著しく低下してしまう。そこで巨額の「コスト」をかけてSSO(シングル・サイン・オン)のような仕組みなどを導入し、何とか問題を回避しているのが現状だ。だが、これも抜本的な解決策になっているわけではなく、多様化する攻撃に対して今後も新たな技術で対処していく必要が出てくる。

危惧されるのは、こうした“後付け”のセキュリティ対策を繰り返しながらも、現在のネットワーク社会はM2MやIoTといった領域に踏み出そうとしていることである。

「万が一、ウェアラブル機器や家電製品、自動車などのインターネット接続機器がサイバー攻撃を受けた場合、極端なことを言うとリスクが人命にまで及んでくる恐れがあります」と齋藤氏は警告する。

また、いよいよ2016年1月から運用が始まるマイナンバー制度に関して、その極めて秘匿性の高い個人情報を取り扱うことになる企業や団体は、どうやってセキュリティを担保するのかという問題にも直面している。「これから新しく構築するシステムにも“後付け”で臨むのでしょうか。マイナンバー制度への対応を好機として、“設計”の段階からセキュリティ対策を見直すべき時期を迎えています」と、齋藤氏は強く訴える。

生体認証を実装したデバイスへの注目が集まる

具体的に今後のセキュリティ対策を、どのような方向で考えればよいのだろうか。齋藤氏は、現時点で 利用可能な認証方式を下記の4タイプに区分する。

  1. ① What you Know(利用者だけが「知っていること」を利用した認証):パスワードや暗証番号など
  2. ② What you Have(利用者だけが「持っているモノ」を利用した認証):鍵やIDカードなど
  3. ③ Where you are(利用者の「位置情報」を利用した認証):今いる地理的な場所、固定電話番号など
  4. ④ What you are(利用者が「真の本人であること」を利用した認証):生体認証

生体認証は本人しか持ち得ない体の情報を利用した認証方式である。中でも、体表情報である指紋に比べ、体内情報である静脈は偽造が困難であるため「なりすまし」のリスクが極めて低い。また、パスワードを記憶したり入力する必要がないので、ユーザーにとって利便性も大幅に向上する。こうした生体認証を実装したスマートデバイスが、ますます一般的になってきている。

例として、ビジネスシーンでの導入がますます進むタブレットを取り上げてみよう。タブレットが持つモビリティを最大限に生かしたいところだが、同時にセキュリティリスクも高まる。パスワード認証では、紛失や盗難が発生した場合の不正アクセスの危険性が非常に高い。また、そもそもタッチ操作を基本コンセプトに設計されたタブレットで、ソフトキーボードでパスワードを入力すること自体が不自然だ。

「タッチ操作に近い動作で済む生体認証を組み込むことで、タブレットは高い堅牢性と利便性を兼ね備えたデバイスとなり、はじめて本当の意味でのモバイル活用を実現することができます」と齋藤氏は言う。生体認証技術は単にセキュリティを高めるという側面だけでなく、IT活用そのものをより高度なレベルに進化させていくのだ。

富士通が発明した世界初の手のひら静脈認証

手のひらの静脈は体内情報であるため、体表情報のように偽造が困難なので「安全性が高い」。また、本数が非常に多く、なおかつ複雑に交差しているため、他の身体の部位と比べて情報量が多く「認証精度が高い」。さらに、太い血管が走っているため、寒さの影響も少ない。非接触で衛生的であることから、誰もが抵抗感なく使うことができ、手をかざすだけの簡単な認証動作であるため「高い利便性」も備えていることも大きな特長だ。

同社は手のひら静脈認証センサーの小型化に取り組み、世界最小クラスの手のひら静脈認証センサーを開発した。センサー内蔵のタブレットやモバイルノートパソコンに加え、デスクトップPCや既に導入済みの他社PCにも外付けで装着できる外付けセンサーやセンサー内蔵キーボード/マウスも提供し、手のひら静脈認証技術を様々なシーンで利用できるようにしている。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。