パスワードレスのFIDO認証を活用したセキュリティ対策
ネットワークにおける本人認証の方法としては、長らくID/パスワードによる方式が多く採用されてきました。ただし、この方法によるパスワードの漏洩事案は増加傾向にあり、また長らく問題視もされてきました。システムの脆弱性を狙った犯罪も増えており、一度不具合が生じることで大きな損失につながる事例も発生しています。年々増加している被害に対して、その対策も多様化しています。今回は、注目のセキュリティ対策についてご紹介します。
目次
1.サイバーセキュリティ対策の重要性(背景)
インターネット上では、日常的に利用するオンラインサービスを通じて、個人を識別できる氏名、生年月日、住所、電話番号、クレジットカードなどの個人情報や企業の社員、顧客、企業機密などの企業情報が送られています。
このような情報を狙った犯罪や事故は年々増加しており、原因はおもにウイルス感染・不正アクセスなどの外部からのサイバー攻撃が多数を占め、誤送信や不正な情報の持ち出しなど人為的なミスとともに深刻な問題となっています。
2024年6月、個人情報保護委員会は2023年度に企業や行政機関などから報告された個人情報の漏洩の件数が22年度より約5,500件増加し、初めて1万件を超え、現在の調査形式になった17年度以降で過去最多の13,279件になったことを発表しています。
参考資料:
2.セキュリティの脆弱性による情報漏洩の事例
不正アクセスにおいて、攻撃者はインターネットサービス上の脆弱な部分を攻撃することで、個人情報などの重要情報を狙います。中には、漏洩した情報から、クレジットカードやメールアドレスなどが悪用されるケースもあります。これらの情報流出の原因の一つには、利用者が同じパスワードを複数のサービスで使いまわすこともあります。一度、情報漏洩が起きると、悪用されて2次被害につながるケースや、社会的信用の低下、さらには損害賠償につながる事態にもつながりかねません。
これまでに、ウイルス攻撃やリスト型アカウントハッキングにより情報漏洩につながった事例をご紹介していきます。
-
株式会社ファーストリテイリングのオンラインサイト
2019年4月、ファーストリテイリングが運営するオンラインサイト上で、約46万件のアカウントに不正ログインがあり、氏名、住所などの個人情報と購入履歴やクレジットカード情報などが閲覧された可能性があります。同社は、不正ログインのアクセス元の遮断、セキュリティの強化、閲覧可能性のあるパスワードの再設定の対応をしています。原因は、他社サービスと同じID・パスワードの使いまわしを狙った、リスト型アカウントハッキングと見られています。パスワード設定を安易に推測できるものにしないことや、他社サービスとは異なるパスワード設定にすることを呼びかけています。
引用元:
「リスト型アカウントハッキング(リスト型攻撃)」による弊社オンラインストアサイトへの不正ログインの発生とパスワード変更のお願いについて -
エン・ジャパン株式会社の転職サービス
2023年3月、エン・ジャパンが運営する「エン転職」に不正アクセスがあり、約26万名のWeb履歴書情報にアクセスがありました。調査の結果、外部からの不正なID・パスワード取得によるログイン(リスト型アカウントハッキング)が原因とされ、セキュリティ対策の強化とユーザーパスワードをリセットする対応がとられました。
引用元:
「エン転職」への不正ログイン発生に関するお詫びとお願い -
エーザイ株式会社の管理システム
2023年4月、エーザイおよび関連会社のID管理システムに不正アクセスがあり、約1万1,000件の取引関係者の氏名とメールアドレスが漏洩しました。社員のアカウントが外部から不正にアクセスされたことが原因です。対策として、不正アクセスの遮断、監視強化、流出した可能性のある情報のモニタリングを進めており、メールアドレスを悪用した迷惑メールなどの二次被害にも注意を呼びかけています。
引用元:
不正アクセスによる個⼈情報流出の可能性に関するお詫びとご報告 -
LINEヤフー株式会社の社内システム
2023年11月、LINEヤフーは外部から社内システムへの不正アクセスを受け、顧客情報約30万件と取引先等に関する情報約9万件、従業員等に関する情報約13万件が流出しました。委託先企業の従業員のPCがウイルス感染し、システムを介して不正アクセスが行われたことが原因とみられています。
会社や組織は他社との関わりの中で活動を行っており、取引先や委託先、関係会社などを含めサプライチェーンとの関わりが存在します。この流れの中で脆弱な部分を攻撃されると、関係する会社や組織にまで被害が拡大する恐れがあります。引用元:
不正アクセスによる、情報漏えいに関するお知らせとお詫び
有効な情報セキュリティ対策として、ソフトウェアの更新、ウイルス感染防止のセキュリティソフト利用、パスワードの管理・認証の強化などがあげられます。次の章では、パスワード運用のセキュリティ対策について詳しくご説明いたします。
3.主な認証方法
オンラインサービスを利用する際、本人確認する代表的な方法として、パスワードを使う認証方式が普及しています。しかし、パスワード認証方式が広がるにつれ、適切でないパスワードの運用や管理方法が、パスワードの流出や不正アクセスなどの重大事案につながることもわかってきました。そこで、最近増えている認証方式が、パスワードを使わずに認証をするパスワードレス認証です。それぞれの認証方式の違いについて見ていきます。
-
パスワード認証とは
現在広く利用されている認証方式で、ユーザーが事前に設定したID・パスワードを入力し、パスワードをシステム側が受け取り、設定されているID・パスワード情報との一致を確認することで認証されます。ユーザーと管理者はそれぞれパスワードの管理をしなければならず、ユーザーには複雑なパスワードを覚えておく負担、管理者はパスワード紛失時の対応コストが生じます。一旦パスワードが流出すると外部からのアクセスが可能となるため、万全なセキュリティ対策が必要となります。
-
パスワードレス認証とは
パスワードを使わない認証方式で、あらかじめユーザー側の認証器にセキュリティキーや生体情報を設定し、使用する際には認証器で情報の整合性を判断します。パスワード認証と異なる点は、システム側はパスワードは受け取らず、認証ができたかどうかの情報で判断するという点です。ユーザーはパスワードを覚えておく必要がなく、パスワードがインターネット上に流れることもないためハッキングすることはできません。セキュリティ面でもより安全といえます。
4.注目の認証技術:FIDO
4-1.FIDO認証とは
FIDO(ファイド)認証とはパスワードレス認証の一つです。公開鍵暗号方式により、従来のパスワードを使った認証技術よりも、よりフィッシング耐性が高く、漏洩のリスクが低い技術となっています。
公開鍵暗号方式では、「秘密鍵」「公開鍵」を使用します。これらはペアキーとなっているため、一方で暗号化したものはもう一方の鍵でしか復号化できないようになっています。公開鍵は誰でも入手可能ですが、秘密鍵とセットでなければ使用できないため安全です。
ユーザーはデバイスで生体認証、PIN、セキュリティーキータッチなどの認証方式から「秘密鍵」「公開鍵」を作成します。「公開鍵」はサーバー側に送られてユーザー情報としてオンラインサービスに登録されます。
ユーザーはオンラインサービス利用時に、サーバーから求められる認証要求(チャレンジ)に対して、デバイス上で認証し、秘密鍵を使ってサーバーに署名を送ります。サーバー側では、公開鍵で署名の検証をしてサインインを許可するという仕組みになっています。
パスワードレス認証で利便性も高いため、今後ますますの普及が見込まれています。
4-2.FIDO認証の種類
大きく分けてFIDO UAF、FIDO U2F、FIDO2の3種類があり、それぞれ仕組みが異なります。
-
FIDO UAF:生体認証やPINによって認証します。FIDOの標準仕様に対応できるデバイスが必要となります。
-
FIDO U2F:パスワード認証とPINコードを組み合わせた二段階認証となっています。パスワード認証後にFIDO認証をおこないます。FIDO UAF同様、対応できるデバイスが必要です。
-
FIDO2:「FIDO UAF」「FIDO U2F」を統合した仕組みとなっています。パスワードレス認証であり、認証器と多要素認証を組み合わせて使用します。Google ChromeやMicrosoft Edge、 Firefox、Safariなど様々なブラウザでサポートされていることから導入しやすく、使いやすいことから今後より普及していくと思われます。
4-3.導入するメリットとデメリット
-
メリット
パスワード認証と比べ、導入する大きなメリットとなるのは、ユーザーも管理者もパスワード管理が不要となる点です。ユーザーは複雑な文字配置のパスワード設定をする必要がなくなり、管理者はパスワード紛失時の対応が不要となるため、運用コストが低減されます。
セキュリティレベルも格段にあがり、パスワードのように情報が外部に漏れる心配がなく、そこを狙ったハッキングなどの犯罪も防げます。
FIDO2は、仕様できるデバイスも増えているため、導入しやすくなっています。 -
デメリット
FIDO UAFやFIDO U2Fのように専用のデバイスを必要とする場合、細かい設定が必要となるため実装するハードルがあがります。また、認証器となるデバイスに認証情報が保管されているため、一度紛失をすると本人認証ができなくなり、再度利用するまでに時間がかかります。
セキュリティ対策に関するご相談はこちらから
5.まとめ
システムの脆弱性によって引き起こされる問題とその対策について見てきました。セキュリティ対策の一つとしてご紹介したFIDO認証は、より安全性が求められる金融機関やインターネットショッピングの認証で導入され広がりつつあります。ユーザーと管理側の利便性を考えてみても、今後はパスワードレス認証がスタンダードとなっていくことでしょう。
セキュリティのレベルも、常に進化し新しい仕組みが生みだされています。個人や組織を守り、安全な運用をしていくためには、情報をアップデートをしていく必要があります。従来の方法に加えてセキュリティ強化について見直してみませんか。
執筆者
