1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. あなたの会社のセキュリティ対策は大丈夫!? ありがちな対策に潜む盲点をQA形式で解説!

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

あなたの会社のセキュリティ対策は大丈夫!?
ありがちな対策に潜む盲点をQA形式で解説!

記事の要約

  • ユーザーの90%超がパスワードを使い回し。不正アクセス防止のためにも検討すべきID・パスワードを覚えなくてもよい認証の仕組み。
  • 貸し借りや紛失など、万全とは言えないIDカードとパスワードを併用した二要素認証。アクセス権限を限定してもID/パスワードでは、内部不正の抑止効果は希薄。
  • 現場に混乱を生じ、記憶できない業務システムごとのID・パスワード変更。セキュリティ強化のために管理部門の負担が増加するのでは本末転倒。

全文を読む

様々な情報漏えい事件が相次いでいる今、企業におけるセキュリティ意識は、以前に比べて高まりを見せている。すでに具体的な対策に着手している企業が増えていることもあり、情報漏えい件数そのものは減少傾向にある。ただし、1件あたりの情報漏えい人数及び平均想定損害賠償額は大幅に増加しているという報告(※1)もあり、情報漏えいが企業にもたらすインパクトは、決して小さくなっているわけではない。だからこそ、現状のセキュリティ対策が十分なのか、改めて考え直してみる必要があるはずだ。そこで今回は、企業におけるセキュリティ対策の現状を振り返りながら、その対策に潜む課題をFAQ形式で詳しく解説していく。※1 日本ネットワークセキュリティ協会資料

「Q1.リスト型攻撃」定期的なパスワード変更はかえってセキュリティリスクを高めてしまう恐れもあり、ユーザー自身でパスワードを自由に設定してもらっています

社内にはメールやグループウェアなど様々な業務システムがあり、それぞれID・パスワードの入力が必要です。以前は、業務システムごとにパスワードを定期的に変更するよう促していましたが、結果として付箋紙にパスワードをメモしてPCのモニタ部分に張り付けてしまう人が続出。これではかえってセキュリティリスクが高くなると考え、定期的にパスワード変更する運用をやめ、各自覚えやすいパスワードを設定してもらっています。おそらく個人で利用しているサービスと同じパスワードを利用してしまっている可能性は否定できませんが、ある程度重複もやむを得ないと判断しています。

Answer「ID・パスワードの使い回しはリスクを増大させます。生体情報のように覚えておかなくてもセキュアに利用できる仕組みを検討すべきです」

IPAが発表した「情報セキュリティ白書2014」によれば、IDとパスワードを使いまわしている利用者を狙ったパスワードリスト攻撃、いわゆる“リスト型アカウントハッキング(リスト型攻撃)”による被害が多発していると報告されています。これは、あくまで個人が利用するオンラインサービスなどへの攻撃ですが、ID・パスワードの使い回しによって、企業が利用するクラウドのシステムに不正アクセスされるリスクも同様に高まっているといっても過言ではありません。トレンドマイクロ株式会社のパスワードの利用実態調査によれば、パスワードを重複して使い回しているユーザーが90%を超えているという実態が明らかになるなど、被害は今後も増加していく可能性を秘めています。

だからこそ、そもそもID・パスワードを覚えておかなくてもセキュリティが保たれる認証の仕組みが必要になります。例えば指紋や静脈など個人の生体情報をベースにした認証手法であれば、わざわざ覚えておかなくともセキュアな環境が維持できるようになります。

Point「利便性を損なわずにセキュアな環境が維持できる方法として、生体情報を利用した認証手法が最適解」
「Q2.運用コスト」IDカードとパスワードを併用した二要素認証を採用しているからセキュリティ面で不安はありません

PCログイン時や業務システム利用時の「パスワード認証」だけではセキュリティ面で心配なので、外付けのIDカードリーダを新たに導入し、IDカードとパスワードを併用した二要素認証を全社的に導入しました。現在PCログインはもちろん、イントラネット内の様々な業務システムのログイン時にIDカードを利用しています。

Answer「貸し借りや紛失・盗難が起こり得るIDカードは決して万全のセキュリティ対策とは言えません」

まず、カード認証では、貸し借りや紛失・盗難が起こり得るのでセキュリティ面で万全とは言えません。実際に紛失・盗難した場合、カード1枚あたり500〜2000円程度の再発行費用がかかり、さらに、登録情報の取り消しや新たなカードの手配、再設定などの工数を含めると、日常的な運用だけで1ユーザーあたり年間1万5000円〜20000円の費用が必要になるという試算もあります。また、IDカードを自宅に忘れてくる従業員も多く、その都度ヘルプデスク側で臨時対応が必要、といったコストも発生します。

そこで注目したいのが、カードやパスワードの代わりに指紋や静脈といった「生体情報」を用いる認証です。生体情報は体表または体内の情報であるため、盗難・紛失はなく、一般的には偽造も困難です。特に静脈といった体内情報は偽造が困難なので、「なりすまし」や「不正利用」のリスクがなくなります。さらに、パスワードの管理や入力、カードの抜き差しといったユーザーの負担がなくなるので、利便性も大幅に向上します。

Point「二要素認証は効果がありますが、なりすましや不正利用のリスクが低く、ランニングコストがかからない生体認証を組み合わせるのがベスト」
「Q3.内部不正」IDカードとパスワードを併用した二要素認証を採用しているからセキュリティ面で不安はありません

昨年多発した企業における情報漏えい事件の教訓から、外部からの脅威だけでなく、自社の従業員や運用を委託している協力会社の常駐スタッフも含めた内部不正対策にも着手。社内の機密情報が格納されているファイルサーバにアクセスできる権限を特定の人のみに限定、現状は幹部社員のみにアクセス権限を付与しています。ID/パスワードがファイルサーバに設定され、たとえ社内の人間であっても幹部社員以外にアクセスできない仕組みになっており、情報が持ち出される心配はないと考えています。

Answer「パスワード認証では、内部不正の抑止効果は高いと言えません」

前提として、内部不正はいずれ必ず露見してしまう「ハイリスク・ノーリターン」であることを周知させることで、内部不正を思いとどまらせることが大切です。そのためにも、確実な本人特定、証跡管理が不可欠です。独立行政法人情報処理推進機構(以下、IPA)が発表した「組織における内部不正防止ガイドライン」では、2005〜2010年の内部不正行為による個人情報漏えいの件数は全体のわずか1%に対して、漏えいした個人情報の数は全体の約25%にまで膨れ上がっていると言及しており、内部不正が原因で大量の個人情報が漏えいしていることがわかります。人間は置かれた状況次第では、つい出来心で不正行為に走ってしまうという「性弱説」の立場に立ち、常に監視されていることを周知しておくことが重要です。

実際のところ、パスワード認証では、本当に権限のある人が利用したかどうかを、その証跡のみで判断することはできません。悪意のある人であれば、肩越しにパスワードを盗み見る“ショルダーハッキング”でパスワードを盗取することもあれば、ゴミ箱に捨てられた資料から情報を盗み出す“トラッシング”、「覚えられないから社員番号にしている」等、パスワード文字列のヒントとなる情報を日常会話から類推することも可能。これでは内部犯行に対する抑止力としては不十分です。体内情報である静脈認証のような、なりすましが困難な生体認証を採用することで、高い抑止効果を期待できます。

Point「内部不正の抑止には、つい出来心で不正行為に走ってしまうという「性弱説」の立場に立ち、確実な本人認証と証跡管理ができる生体認証が効果的。」
「Q4.利便性」業務システムごとにパスワード変更を定期的に実施しており、セキュアな環境を維持できているので安心です

業務システムごとにID・パスワード入力を求めることで、強固なセキュリティを確保しています。パスワードの有効期限は3ヵ月に設定し、3ヵ月後にはパスワード変更のメールをすべての従業員に送り、強制的にパスワードを変更させています。パスワードは英数を必ず混在させ、8桁以上の文字列でその都度設定し直す徹底ぶりです。しかも、一度使ったパスワード及び似たような文字列は二度と利用できないようにシステムに制限をかけており、万一のパスワード漏えいに備えています。

Answer「現場が運用に耐えられない仕組みでは、そもそも最適な解決策とは言えません」

財団法人日本データ通信協会が公表している「電気通信事業における個人情報保護指針」などのガイドラインでは、個人情報へのアクセス管理における有効な措置として、パスワードの有効期間を1〜3ヵ月とし、期限までに変更を促すようなシステムが望ましいとされています。しかし、実際にパスワードが頻繁に変わってしまうことで現場に混乱が生じ、結局覚えることができずに社内のサポート部門に問い合わせが殺到することも。ワンタイムパスワードやUSBキーなどを従来のパスワードの代わりに用いる方法も考えられますが、パスワード生成装置やUSBキーを自宅に忘れてしまったり盗難、紛失してしまったりすると、そもそも業務が遂行できないといった事態を招きかねません。

自分の生体情報を利用した認証の仕組みであれば、キーとなる生体情報を忘れてしまうことはありませんし、富士通のPC/タブレットのように、センサーがPCに内蔵されていれば、センサーに生体情報をかざすだけで本人を特定でき、なりすましや不正利用を防ぎ、安全なPCログインが可能です。富士通が提供している手のひら静脈センサーであれば、既存のPCに接続できるUSB外付けセンサーやセンサー内蔵キーボード・マウスも提供されており、利便性の高い生体認証をすぐに利用することができます。

認証が速く、手間もかからない手のひら静脈認証は、センサーに触れることなく認証可能だ。

Point「センサーが内臓されたPCタブレットなら、利便性を向上させながら、より安全な認証セキュリティ環境を構築可能、一考の価値あり」
「Q5.運用が簡単」パスワード変更のたびに問い合わせが殺到しますが、セキュアな環境を維持するには仕方のないことだと考えています

セキュリティの強度を高めるために、業務システムごとに必要なID・パスワードをすべて異なるもので運用し、およそ3ヵ月ごとにパスワード変更のルールを徹底。当然ながら従業員からの問い合わせが殺到し、その都度パスワードリセットを実施して新たに設定してもらう運用を採用しています。パスワードがなかなか記憶できないことによる従業員の負担もさることながら、サポートを担っているヘルプデスク業務の運用負荷も相当なものに。それでも、セキュアな環境を維持するためにはやむを得ないと考えています。

Answer「セキュリティ強化のために本来業務に注力できないのでは本末転倒です」

セキュリティを強固に保つためには、現場及び管理部門の負担はやむを得ないこともありますが、本来必要な業務に集中できない環境を作ってしまっては、どれだけセキュリティを強化しても意味がありません。できる限り運用管理をシンプルにし、手間なくセキュアな環境を作り出す仕組み作りが欠かせません。

富士通の生体認証ソリューションであれば、社員は手のひらをセンサーにかざすだけ。あとは、システム側で専用サーバを介して手のひら静脈情報と紐づけられたID・パスワードを照合し、専用ソフトが自動でID・パスワードを入力してくれます。

これにより、システム側によるID・パスワードの一元管理ができ、社員はパスワードを設定する必要がなくなるのです。複数のパスワードを記憶し続けるという社員の負担を減らすことが可能なだけでなく、問い合わせを受け付けるヘルプデスク業務の負荷も大幅に軽減できます。

【Secure Login Box】
生体情報を安全に一括管理し、Windowsログオンや業務アプリケーションへのログインをツールにより代行するセキュリティシステムを構築するための専用機

【SMARTACCESS/Premium】
ID・パスワードの手動入力を代行する統合認証ソフトウェア

Point「既存環境への組み込みが容易な生体認証ソリューションなら、従業員の心理的負担を軽減しながら管理業務の負荷を大幅に減らすことが可能」
「Q6.豊富な実績」生体認証に興味を持っていますが、実績について不安を持っています。あまり使われていないのではないでしょうか

現状システムごとに異なるID・パスワード認証での運用を継続していますが、できれば利便性に優れていながらも運用がシンプルで、パスワード管理での負担を減らすことができる生体認証を導入したいと考えています。なかでも非接触で利用できる手のひら静脈認証に興味がありますが、導入するためには事例を含めた実績が必要です。あまり実績を聞いたことがないために不安を感じるのですが、実績はあるのでしょうか。

Answer「高度なセキュリティが求められる金融機関や公的機関をはじめ世界60ヶ国で採用されているなど、手のひら静脈を利用した生体認証は豊富な実績を持っています」

髙いセキュリティを求められる金融機関や公的機関を中心に豊富な導入実績があります。活用事例の一例を挙げると、銀行の渉外職員用の手のひら静脈認証センサー内蔵タブレット、キャッシュカード不要のATMや、公的機関で個人情報を扱うためのPCログイン、一般企業での勤怠管理などがあります。もちろん、国内だけの実績ではありません。世界でも60ヶ国で採用実績があり、累計で41万台を出荷、およそ5000万人以上が手のひら静脈を登録している状況です。すでに手のひら静脈は一般的に普及した認証方式と言えるのです。

累計41万台を出荷、5000万人が登録済み。全世界の静脈の8割は「手のひら静脈認証」です。

Point「豊富な実績を誇る手のひら静脈認証は、すでに信頼性が求められる様々な業務で利用可能なことを示す実績があることが可能な品質を兼ね備えている」

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。