楠 正憲氏が語る「サービス撤退を避けるためのID管理」とは

ID漏えいは「サービス撤退」の危機

　クラウドをはじめとするテクノロジーの普及、進展に伴い、「IDの堅牢さ」がクローズアップされている。周知のとおり、キャッシュレス決済をはじめあらゆるWebサービスは堅牢なID管理とその認証なしには成り立たないからだ。

　ID管理やサービス認証の益々重要になる一方、「IDとパスワード」などの認証情報がサイバー攻撃により狙われるようになった。

　楠氏によると、当初は日本で報じられることが少なかったものの、2012年の秋ごろから明確にID、パスワードターゲットにしたサイバー攻撃や、それに伴う大規模なパスワードの漏えい事件が数多く起きているのだそうだ。

　楠氏は「ID・パスワード管理の運用は、それ自体がリスクの高いものになっている」と指摘する。

　これは、業種、業態を問わずあらゆる企業にとって共通の課題であり、あらゆる企業においてパスワードは「漏えい前提」で「漏えいに素早く気づき、被害の拡大を防ぐ」対策が求められるという。

パスワード「危殆（きたい）化」の理由

　では、なぜこれほどまでにパスワードが「危殆（きたい）化」しているのか。楠氏はいくつかのポイントを指摘する。

　まず、多くのサイトからの大規模漏えい（メガブリーチ）が発生し、そうしたパスワードがダークウェブなどで流通するようになったことが大きい。犯罪者にとって、ソフトウェアの脆弱性に関する情報や、パスワード、クレジットカード番号、セキュリティコードなどの売買が容易になっているのだ。

　また、SNSの普及によって、ユーザーが公開する情報から身辺情報を調査することは容易になっており、こうした情報を突き合わせることで、「秘密の質問と答え」もますます危殆化している。 　これにより、漏えいしたパスワードリストをもとにした「パスワードリスト型攻撃」が蔓延し、不正アクセスが増加、IoTデバイスに対する無差別攻撃の多発といった状況を招いている。

　適切にIDの認証ができないと、短期間で不正アクセスを許してしまい、サービス撤退に追い込まれることさえ考えられる。

　しかし、「ID管理が死活問題であるにも関わらず、多様化する端末環境に合わせた安全なIDの構築方法について、広く知見が共有されていないのが実情だ」と楠氏は述べる。

　「漏えい前提のID管理」を実現し、被害を最小限に抑えてサービスを継続するには、何が必要なのだろうか。


【次ページ】「SMS二段階認証」の限界とは