1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. パスワードはもはや限界!企業セキュリティの新たな一手は?

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

パスワードはもはや限界!企業セキュリティの新たな一手は?

記事の要約

  • 危機的な状況を迎えているパスワード利用。ブルートフォース攻撃などに対してパスワードのみに頼ったシステムは、脆弱さを露呈。
  • ワークスタイル変革に比例して急拡大するモバイルの活用。端末側にデータが残らなくても、パスワードの漏えいで高まるセキュリティリスク。
  • “パスワードクライシス”の時代の有力対策として注目される生体認証、とりわけ静脈認証は、高いセキュリティレベルが要求される金融機関でも、導入が拡大中。

全文を読む

萩原 栄幸氏に聞く
日本セキュリティ・マネジメント学会 常任理事 萩原 栄幸氏
2008年まで大手都銀のシステム部の先端技術の調査・研究室「テクノ巣」の責任者だった。現在では情報セキュリティ、内部犯罪調査、サイバー攻撃、そして近年は加えてクラウドやスマートフォン、ビッグデータ、SNS、などでも独自の検証を踏まえた執筆や講演活動を行う。金融ニュービジネス&テクノロジー研究会常任アドバイザー、ACCS(社団法人コンピュータソフトウェア著作権協会)の技術顧問、日本セキュリティ・マネジメント学会の「先端技術・情報犯罪とセキュリティ研究会」の責任者(主査)も兼務している。

クラウド、ソーシャル、モバイル、ビッグデータ時代を迎え、ITシステムの利用はますます広がり、高度になっている。そこでの“弱点”となっているのが、パスワードをベースとしたセキュリティ対策だ。多くのシステムが本質的に抱えている脆弱性をいかに認識し、どのような備えを始めるべきなのか。コンプライアンスや情報セキュリティに詳しい萩原栄幸氏に話を聞いた。

“パスワードクライシス”の時代にどう対応するか

情報システムのセキュリティは、基本的にIDとパスワードを組み合わせたユーザー認証が基本だ。IDは社員番号など本人以外も周知の情報が使われていることも多く、その意味ではパスワードにすべてを頼っている状況だ。

ところが、そうしたセキュリティ対策における最後の砦となっているパスワードが今、危機的な状況を迎えている。「私は“パスワードクライシス”と呼んでいますが、もはやパスワードは、破られることを前提に策を講じなければなりません」と説くのは、萩原栄幸氏である。

様々なシステムで標準的に使われている8桁パスワードを例にとると、そこで用いられる英数字や特殊文字の組み合わせは、約576兆通りになる。天文学的な数字のように思うかもしれないが、「最近のハイエンドPCを使ってブルートフォース攻撃(総当たり攻撃)をかけた場合、1秒あたりに600万〜700万回のアタックをかけることが可能で、0.9年で解読できる計算になります」と萩原氏は指摘する。

ならば、3〜6カ月のサイクルでパスワードを変更すれば破られるリスクが減るのではないかと考えるかもしれないが、決して油断はできない。ユーザーがパスワードなどを入力する際のキー操作や画面を盗み見る「ショルダーハッキング」といった、特別な技術や機器を必要としない原始的な手口もあるのだ。さすがに8桁のパスワードのすべてを一度に盗み見るのは難しいが、最初の3桁程度を陰から覗き見るだけなら決して無理なことではない。となれば、残りは5桁。「先のブルートフォース攻撃を当てはめると、わずか1分24秒で解読できてしまうのです」と萩原氏は警告する。

こうしてパスワードを盗み取った攻撃者は、いとも簡単に本来の持ち主になりすまし、情報にアクセスできてしまう。パスワードのみに頼ったシステムは、極めて脆弱であることを強く認識しておく必要がある。

金融機関でも広がるモバイルデバイス導入

一方、現在のビジネスにおいて、流れを止めることのできないITのメガトレンドとなっているのがモバイル活用だ。

スマートフォンやタブレットといったモバイルデバイスを活用し、ネットワーク経由で社内の業務システムやファイルサーバなどにアクセスできるようにすれば、オフィスに縛られることなく、いつでも、どこでも、仕事を遂行することが可能となる。その先で高まっているのは、単なる効率化の概念を超えて多様な働き方をサポートし、個々の社員のパフォーマンスを高めていく「ワークスタイル変革」への期待である。

一般的に保守的と思われている金融業界も例外ではない。「渉外用端末として、タブレットを大量導入する銀行や生命保険会社などが相次いでいます」と萩原氏。しかも、これはメガバンクのような大手に限ったことではない。「地銀は言うまでもなく、信用金庫や信用組合にいたるまで、モバイルデバイスの導入意欲が高まっています」と萩原氏は語る。

では、これらの企業がどうやってモバイルデバイスのセキュリティを担保しているのかというと、よく見受けられるのがシンクライアント化による対策である。モバイルデバイス本体に業務データを一切残さない仕組みにしておけば、仮に紛失したり盗難に遭ったりした場合でも、情報が漏えいする心配はないというわけだ。ただ、シンクライアントさえ導入すれば安心、というわけではない。いくら端末側にデータが残らないとはいえ、パスワードが漏れてしまえば不正アクセスや情報漏えいのリスクが格段に高まってしまう。

加えて、「情報漏えい事件は、正規なパスワードを持つ者による『内部犯行』が多いのも事実です」と萩原氏は指摘する。この点でも確実な本人特定ができないパスワード認証では、抑止効果として課題があると言わざるを得ない。どんな場合も「真に本人であること」を確認することができる、堅牢な認証ソリューションが求められる。

静脈認証ソリューションに高まる期待

パスワードに代わるセキュリティ対策の有力候補として萩原氏が挙げるのが、近年になってバリエーションを広げてきた生体認証技術である。なかでも静脈認証の動向に注目しているという。

生体認証技術といえば、指紋認証を思い浮かべる人は多いだろう。しかし、指紋は個人の体質や従事している仕事内容によっては薄くなりやすく、読み取りづらいケースがある。入退室管理など限定された人物に対して適用する場合はあまり問題にならないが、万人を対象とした汎用的な認証ソリューションとして活用するには、やや難があった。こうした指紋認証の弱点を補うソリューションとして、静脈認証が注目されているわけだ。

「指紋認証と異なり、非接触で抵抗感なく認証できるのも手のひら静脈認証のメリットです。 また、確実に操作者を特定し、証跡管理もできることから、『監視されている』ことを操作者に日頃から意識させることができるので、内部犯行に対する高い抑止効果も期待されます」と萩原氏は語る。

金融機関でも採用される
富士通の手のひら静脈認証センサー内蔵タブレット

最新の手のひら静脈認証センサー
内蔵タブレット「ARROWS Tab Q775/K」

富士通は、同社が独自開発した世界最小・最薄・最軽量クラスの手のひら静脈認証センサーを内蔵したタブレットを2014年から提供している。

このタブレットにいち早く目を付けたのは、高いセキュリティレベルが要求される金融機関である。既に数千〜数万人規模の渉外担当者用端末として、複数の企業に導入されている。金融資産など非常に秘匿性の高い個人情報を扱う渉外の現場でも、タブレットが持つモビリティを最大限生かしながら、手のひら静脈認証による非常に強固なセキュリティを実現し、業務効率向上や提案力強化といったワークスタイル変革をもたらしている。

また、同社は手のひら静脈認証センサーを内蔵したモデルとして、タブレットだけでなくノートPCも提供。さらに、デスクトップPC、既に導入済みの他社PCにも外付けで装着できるセンサーやセンサー内蔵キーボード/マウスと豊富にラインアップしている。

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。