「パスワードレス」はより安全な未来への一歩か?
クラウド戦略を採用する企業が増える中、従来の認証方法では必要なセキュリティを確保できない場合があります。脅威となる人物は、多くの人がパスワードを再利用していることをすでに知っており、セキュリティチームは、パスワードの対策管理という苦しい戦いに常に立ち向かう必要があります。
パスワードには長い歴史がありますが、その間にベストプラクティスも進化してきました。ここでは、パスワード戦略の歴史と、それぞれの節目で何が起こったのかを説明します。
パスワードの誕生
コンピューターの黎明期には、パスワードは主に社内ネットワークシステムへのアクセスに使われていました。コンピューターは、部屋全体を占めるため、鍵のかかったドアの後ろに置かれることが多くありました。そこでは、誰かがメインフレームを使用した時間を追跡するためにパスワードが使用されていましたが、部屋の鍵となるのは認証プロセスそのものだったのです。
認証プロセスの進化
デスクトップ コンピューターがビジネスプロセスの標準となるにつれ、パスワードと認証は進化する必要がありました。この時点では、パスワードは物理的なデバイスと組織の内部ネットワークの両方へのアクセスを提供していました。これは、コンピューターがまだイーサネットケーブルを使ってローカルエリアネットワーク(LAN)に物理的に接続されていたことに起因します。ワイヤレス接続や、外部からLANにアクセスする機能がなければ、パスワードを使ってデバイスを認証することで、安全な接続が可能になりました。
インターネットとクラウドがすべてを変える
近年では、ワイヤレス接続やクラウドの導入により、パスワードに関するすべてが変わりました。パスワードと認証は、脅威となる人物に新たな攻撃手段をもたらしました。パスワードがあれば、世界のどこからでも企業のリソースにアクセスすることができます。
パスワード戦略はますます複雑になりました。現在、組織は以下のようなポリシーを確立し、実施する必要があります。
- パスワードの長さ
- 大文字と小文字を組み合わせたもの
- 数字
- 特殊文字
- パスワードのローテーション期間
このような新しい要件のもと、多くの人が覚えやすいパスワードを使用し、同じパスワードを複数の場所で使いまわしていました。これにより、パスワードポリシーの目的が損なわれ、脅威となる人物に認証情報を盗んだり、辞書攻撃を行ったりする手段を与えてしまうことになったのです。
このような新たなリスクを軽減するために、組織は多要素認証(MFA)を採用し始めました。これは、ユーザーが以下の2つ以上の組み合わせを使用する必要があることを意味します。
- ユーザーが知っているもの(パスワード)
- ユーザーが持っているもの(トークン、スマートフォン)
- ユーザーが持っているもの(生体認証)
残念ながら、悪意のある人物は、これらの制御を回避する方法を見つけることができます。例えば、悪意のある人物は、ソーシャルエンジニアリング攻撃を利用して、テキストメッセージの傍受、フィッシング、スプーフィングを行うことがよくあります。最終的には、セキュリティのベストプラクティスであっても、問題があり、本質的に危険なものとなってしまいます。