- 会員限定
- 2020/01/10 掲載
楠 正憲氏が語る「サービス撤退を避けるためのID管理」とは

Chief Technology Officer(CTO)
楠 正憲氏
ID漏えいは「サービス撤退」の危機
クラウドをはじめとするテクノロジーの普及、進展に伴い、「IDの堅牢さ」がクローズアップされている。周知のとおり、キャッシュレス決済をはじめあらゆるWebサービスは堅牢なID管理とその認証なしには成り立たないからだ。ID管理やサービス認証の益々重要になる一方、「IDとパスワード」などの認証情報がサイバー攻撃により狙われるようになった。
楠氏によると、当初は日本で報じられることが少なかったものの、2012年の秋ごろから明確にID、パスワードターゲットにしたサイバー攻撃や、それに伴う大規模なパスワードの漏えい事件が数多く起きているのだそうだ。
楠氏は「ID・パスワード管理の運用は、それ自体がリスクの高いものになっている」と指摘する。
これは、業種、業態を問わずあらゆる企業にとって共通の課題であり、あらゆる企業においてパスワードは「漏えい前提」で「漏えいに素早く気づき、被害の拡大を防ぐ」対策が求められるという。
パスワード「危殆(きたい)化」の理由
では、なぜこれほどまでにパスワードが「危殆(きたい)化」しているのか。楠氏はいくつかのポイントを指摘する。まず、多くのサイトからの大規模漏えい(メガブリーチ)が発生し、そうしたパスワードがダークウェブなどで流通するようになったことが大きい。犯罪者にとって、ソフトウェアの脆弱性に関する情報や、パスワード、クレジットカード番号、セキュリティコードなどの売買が容易になっているのだ。
また、SNSの普及によって、ユーザーが公開する情報から身辺情報を調査することは容易になっており、こうした情報を突き合わせることで、「秘密の質問と答え」もますます危殆化している。 これにより、漏えいしたパスワードリストをもとにした「パスワードリスト型攻撃」が蔓延し、不正アクセスが増加、IoTデバイスに対する無差別攻撃の多発といった状況を招いている。
適切にIDの認証ができないと、短期間で不正アクセスを許してしまい、サービス撤退に追い込まれることさえ考えられる。
しかし、「ID管理が死活問題であるにも関わらず、多様化する端末環境に合わせた安全なIDの構築方法について、広く知見が共有されていないのが実情だ」と楠氏は述べる。
「漏えい前提のID管理」を実現し、被害を最小限に抑えてサービスを継続するには、何が必要なのだろうか。
【次ページ】「SMS二段階認証」の限界とは
PR
PR
PR