セキュリティ

2019.11.01

Author:

パスワード管理って、大切ですか?

みなさん、こんにちは。
2019年最大のショックといえば、サンマの不漁ですよね!?

消費税増税?そうですか。

パスワードリスト攻撃(不正入手したメールアドレスとパスワードの組み合わせでインターネットサービスへのログインを試みる攻撃)に加え、パスワードスプレー攻撃(攻撃対象のメールアドレスと世間でよく使われている「123456」や「password」などのパスワードを組み合わせてインターネットサービスへのログインを試みる攻撃)まで流行しはじめた今日この頃、いかがお過ごしですか?

前回までに、エンドポイントセキュリティ、ネットワークセキュリティ、クラウドセキュリティを紹介してまいりました。

これらのセキュリティ技術により、①危険なサイトにアクセスして手遅れになる前に通信を止めること、②組織内のデバイスを掌握し、怪しいデバイスを隔離すること、③暗号化された通信の中に潜む脅威を機械学習で「見える化」すること、④誰がどのクラウドサービスを利用しているのかを把握すること、⑤許可していないOffice 365テナントへのアクセスを止めること、ができるようになります。

さらに、インターネットやクラウドサービスを安全に使うために大切なことがあります。パスワードリスト攻撃などによって不正ログインされないことです。

そのために総務省は、企業・組織にとっての重要な対策として「安全なパスワード管理」を掲げています。また、以前まで常識とされていたパスワードの定期的な変更が不要となったのは、推測されにくいパスワードを使うことが何よりも重要なためです。不正ログイン対策の第一歩は、皆さん一人ひとりのパスワード管理から始まるといっても過言ではないでしょう!

詳しくはこちらです。
セキュリティ匠対談:「パスワード変更不要」の議論で考えるべきこと

また不正ログイン対策として、企業・組織では認証連携(フェデレーションともいいます)の採用が進んでいます。

① IDプロバイダーにログインする
② IaaSやSaaSほかインターネットサービスへのアクセス許可証が発行される
③ アクセス許可証を提出してインターネットサービスにアクセスできる

認証連携とは、IDプロバイダーと呼ばれるシステムやサービスでパスワードを一元管理し、インターネットサービスの代わりに利用者の認証処理をします。利用者はIDプロバイダーで管理されているパスワードだけを覚えればよくなります。インターネットサービスは認証処理をしませんので、パスワードを持つ必要がなくなります。これにより脆弱なインターネットサービスからパスワードが盗まれる心配がなくなり、パスワードリスト攻撃などを回避できます。認証連携の技術としては「SAMLプロトコル」がメジャーです。

詳しくはこちらです。
便利なSaaSをもっと安全に使うには?(番外編:SAML解説)

なんと、IDプロバイダーによっては、パスワードによる認証に加えて、スマートフォンを使って認証する多要素認証もサポートしています。最近では国際標準規格であるFIDO(Fast IDentity Online)を使った生体認証をサポートするIDプロバイダーもあり、パスワードを使わないログインも増えつつありますが、パスワードがいらない世界になるにはまだしばらくかかりますので、パスワード管理は大切です。不正ログインによって大切なモノが侵害されないよう、オンリーワンの素敵なパスワードを考えましょう!

私たちネットワンシステムズは、お客様の大切なモノを守るために、世の中に数多あるセキュリティ対策の中から、信頼のおけるものを調査し、検討し、検証し、比較し、導入、設計、構築、運用に深く携わることで経験とノウハウを積み重ねてきました。
パスワードを忘れて焦る日もありました。
妻の誕生日を忘れて焦る日もありました。
このブログでは、そういったエクスペリエンスを紹介していきたいと思います。長いような短いような人生、これからもお付き合いいただけますと幸いです。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

MORE「セキュリティ」記事