1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 限界!社員のパスワードで会社がリスト攻撃の標的に

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

限界!社員のパスワードで会社がリスト攻撃の標的に

-注意喚起・ルール厳格化は通用しない-

記事の要約

  • 今もっとも警戒すべき、リスト型アカウントハッキング。社員がプライベートと会社で使い回すパスワードが、不正アクセスの原因に。
  • パスワード使い回しの抑止に効果がない、社員への注意喚起やポリシー厳格化。
  • パスワード認証の課題をクリアする生体認証。なりすましを防止し、デバイスの紛失時にも情報漏えいリスクを低減。情報システム部門の運用負荷の軽減と、利便性向上を両立する生体認証が、セキュリティ強化に大いに貢献。

全文を読む

企業を標的とした不正アクセスの脅威が増大している。なかでも、企業システムのセキュリティ対策を担当する情報システム部門がいまもっとも警戒しているのが、リスト型アカウントハッキング(リスト攻撃)だ。大手航空会社や物流企業などが一般ユーザー向けに提供しているWebサービスにおいて立て続けに攻撃を受け、数千件から数十万件の個人情報が漏えいしたことは記憶に新しい。
このリスト攻撃は、こうした一般ユーザー向けシステムだけでなく、企業における業務システムにとっても重大な脅威であることにお気づきだろうか?

リスト攻撃はパスワード認証に起因。「パスワードの使い回し」が、
不正アクセスの引き金に。

リスト攻撃は、あるWebサイトなどからID・パスワード情報を不正入手し、標的となる別のシステムに不正アクセスを仕掛ける攻撃手法だ。
根本的に世の中のほとんどのシステムが「パスワード認証」を採用しており、ユーザーによる「パスワードの使い回し」が発生することに起因する。さらにいうと、企業は、社員がプライベートと会社で使い回す「パスワード」によって、不正アクセスのリスクに晒されている、ということになる。難しいのは、企業は社員がプライベートで使用するパスワードまで管理することは不可能である点だ。
それでは、企業側でパスワードの使い回しが発生しないよう、“注意喚起”すればよいのだろうか・・・。

もはや限界? 社員個人に委ねるパスワード管理

富士通が従業員規模500人以上の企業に勤めるビジネスマンを対象に実施した調査では、社員が使用している業務システムの数は一人あたり平均約4.7で、5社に1社が一人あたり平均7以上。そして、こうした企業では、9割近くがパスワードの定期変更を、7割以上が業務システムごとに異なるパスワードを設定するよう”注意喚起”されている。ところが、調査対象となった企業の社員のうち、なんと93%がパスワードの使い回しを行い、60%が類似パスワードを使用しているという驚くべき事実も明らかになった。つまり、”注意喚起”による対策は、実際にはパスワード使い回しに効果がない、ということになる。
では、“注意喚起”ではなく、システム的な“ポリシー厳格化”の場合はどうだろうか。パスワードを使い回すもっとも多い理由は「覚えきれない」。そんな誰もが覚えづらいパスワードを4種類以上、しかも定期変更を前提に、正確に記憶するのは容易ではない。ユーザーの利便性が損なわれるのはもちろん、情報システム部門からしても、社員のパスワードの忘却対応や、パスワード更新を定期的かつ継続して実施していく運用自体が負担になっている。

セキュリティ強化と運用負担軽減を両立させる富士通の
生体認証ソリューション。

こうしたパスワード認証の課題をクリアするのが、富士通の生体認証ソリューションだ。手のひら静脈センサー内蔵のPCやタブレットで、本人しか持ち得ない生体情報を利用して認証を行うため”なりすまし”は困難だ。仮に、PCやタブレットを万が一紛失した場合も、本人以外ではシステムにログインできないため、情報漏えいリスクは格段に低くなる。そして、富士通はPCやタブレットといった端末に加え、専用サーバと専用ソフトも合わせて提供している。
仕組みとしては、ユーザー(社員)は端末の手のひら静脈認証センサーに手をかざすだけ。あとは、システム側が、手のひら静脈情報をもとに、ID・パスワードを自動入力して、各業務システムにログインが完了する(シングルサインオンにも対応)。さらにシステム側に保管されるパスワードはシステム管理者がユニークな文字列を設定し、一元管理できる。結果的に、ユーザーはパスワード管理や入力どころかパスワード自体から解放されるのだ。さらに、これらの製品は既存業務システムの改修なしに、ワンストップかつスピーディーに生体認証ソリューションとして導入することができる。
この生体認証ソリューションを導入すれば、リスト攻撃を始めとする不正アクセスへの対策を強化しながら、情報システム部門の運用負荷を軽減し、さらにユーザーの利便性の向上も図れる。「パスワード認証」の限界が見えてきた今、このような生体認証ソリューションは今後の企業システムにとって必要不可欠になりそうだ。

掲載誌

日経情報ストラテジー(2015年2月26日売り号)

日経コンピューター(2015年3月3日売り号)

日経パソコン(2015年2月19日売り号)

日経パソコン(2015年3月5日売り号)

日経コミュニケーション(2015年2月27日売り号)

日経ネットワーク(2015年2月25日売り号)

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。