このページの本文へ

固定パスワード認証のリスクと「トークンレス・ワンタイムパスワード認証」のメリット

テレワーク導入の疑問「本当に『パスワード』のセキュリティでいいの?」

2020年03月10日 08時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

テレワーク導入を決定したZ社、だがセキュリティに疑問が……

 全社的な「働き方改革」に取り組んでいる中堅企業のZ社では、その一環として「テレワーク制度」の導入を決定した。業務用PCを社外に持ち出し、在宅あるいは外出先での勤務を許可する内容だ。部署/業務ごとの検討と承認は必須だが、原則としてあらゆる社員がテレワークを選択できる環境を作っていく。

 この決定に合わせて、情報システム部には「あらゆる社員がテレワークでも社内と同じように業務できるよう、システム環境を整備してほしい」との依頼があった。イントラネット上にある業務システムやファイルサーバーにアクセスするためのVPNアカウント配布、業務SaaSにおけるアクセス制限の緩和といった対応が必要だ。

 しかし……情シス担当者のX氏は不安を感じていた。これまでは社内利用だけだったので、業務PCもシステムも「IDとパスワード」でログインできるようにしてある。だが、テレワークを始めて社外からのアクセスも許可するとなると、セキュリティリスクが一気に高まるはずだ。万が一、社員のパスワードが盗まれたり、攻撃者がサイバー攻撃をしかけてきたりしたら……。これまでのパスワード認証で、本当に大丈夫なのだろうか?

テレワーク導入時には「セキュリティ強化」も考えるべき

 「働き方改革」推進や2020年夏のオリンピック開催、さらに感染症の発生といった社会環境の変化を受けて、日本国内でも徐々にテレワーク導入の機運が高まっている。ただし、これまでとは異なる「働き方」の実現には、さまざまな側面で課題があるのも事実だ。

 そうした課題のひとつとして「セキュリティ」がある。たとえば、テレワークで業務PCを社外に持ち出せば盗難や紛失のリスクが高まる。社外(インターネット)からのアクセスを許可すれば、サイバー攻撃による不正アクセスのリスクが高まる。そこから機密情報や個人情報が漏れ出してしまえば、ビジネス的な損失に加えて企業としての信用問題にも発展する。

 こうしたセキュリティリスクを低減させるために必要なのが、必要十分な「認証」手段である。そのシステムにアクセスし利用する正当な権限があるユーザーかどうかを、何らかの方法で確認しなければならない。

 社内に閉じた環境であれば、PCは社内ネットワークに接続されており、操作する人もそこにいるという前提があるので、多くの場合は簡素な認証手段でも十分だと判断される。しかし、テレワーク環境の場合は大きく状況が異なる。インターネット越しにリモートからアクセスする形なので、社員になりすました攻撃者が不正アクセスを行うリスクが高まる。そのため社内環境よりも厳しく認証を行い、セキュリティを強化しなければならないはずだ。

なぜ「固定パスワード認証」では不十分なのか

 認証方式として古くから存在し、現在でも広く利用されているのが「パスワード(固定パスワード)認証」だ。「正しいパスワードを知っている」=「アクセス権限を持つユーザー本人である」と判断する仕組みはシンプルでわかりやすく、導入や運用もしやすいメリットはある。

 しかし、特にインターネット上ではパスワード認証に対する攻撃リスクが高い。攻撃者にとっては、企業などに物理的に侵入するよりも“低リスク”“低コスト”な攻撃が実行できるからだ。冒頭の仮想ストーリーで挙げた、情シス担当者X氏の「パスワード認証で大丈夫なのか?」という不安は正しいだろう。

 パスワード認証への攻撃手法にはさまざまなものがあるが、近年特に急増しているのが「パスワードリスト攻撃」だ。これは、攻撃者があるサイトから大量に漏洩したID/パスワードのリストを使って、ほかのサイトに不正ログインを試みるという攻撃手法だ。「総当たり攻撃」「辞書攻撃」といったほかの攻撃手法よりも成功率が高いと言われる。

パスワード認証に対する攻撃手法の代表例

 なぜ攻撃成功率が高いのか。これは、多くのユーザーが複数のサイトで同じパスワードを“使い回し”している実態があるためだ。本来は攻撃者に破られないように長くて複雑なパスワードを「サイトごとに」用意して使うべきだが、利用するサイトが増えるとパスワードを覚えきれなくなる。その結果、ユーザーはパスワードの使い回しをしてしまうわけだ。当然、これはテレワーク環境でも懸念すべきリスクである。

 近年ではログインシステムに「2要素認証」を取り入れるインターネットサービスも増えているが、これもパスワード認証だけの本人認証では不十分だという認識が広く共有された結果と言えるだろう。

 テレワーク環境においても、こうした認証の強化策が求められている。たとえば総務省が定めた「テレワークセキュリティガイドライン(第4版)」では、テレワーク導入時に企業のシステム管理者がとるべき「基本対策事項」の1つとして「本人であることを厳密に確認する認証」手段の採用を挙げている。

総務省が公表している「テレワークセキュリティガイドライン」(第4版、p.49)でも、認証強化が「基本対策事項」として取り上げられている

画期的な「トークンレス・ワンタイムパスワード」のメリット

 固定パスワードに代わる認証方式として、たとえばハードウェア/ソフトウェアトークンが生成するワンタイムパスワード、指紋や顔などによる生体認証などがある。これらは固定パスワードの持つ「第三者が知ればなりすましができる」リスクを回避できる方式だが、導入コストやユーザーの使い勝手の点で固定パスワードに劣るため、固定パスワードを置き換えるほどには普及していない。

 そこで、1997年にパスロジの創業者であり現代表の小川秀治が考案したのが「トークンレス・ワンタイムパスワード方式」だ。これはその名のとおり、ハードウェア/ソフトウェアトークンを使わず、ワンタイムパスワードを生成する仕組みである。

「トークンレス・ワンタイムパスワード方式」を用いたPassLogicのログイン画面

 具体的に見てみよう。ブラウザ上のログイン画面には、乱数表とワンタイムパスワードの入力欄が表示される。ユーザーはあらかじめ数字を読み取る「パターン」(乱数表のマスの位置と順番)を作成、登録しており、この「パターン」に沿って数字を読み取り、ワンタイムパスワードとして入力する。非常にシンプルだ。

「トークンレス・ワンタイムパスワード方式」の概要

 このトークンレス・ワンタイムパスワード方式にはいくつかのメリットがある。

 まず、固定パスワードが持つ“使い回し”リスクを回避できる。いくつもの長く複雑な固定パスワードを覚えるのと比べれば、「パターン」を覚えるのは簡単だろう。また、認証時には毎回異なるパスワードを入力することになるため、固定パスワードの弱点であるキー入力の盗み見やキーロガーによる攻撃にも強い。

 導入/運用効率が良い点もメリットだ。トークンを使ったワンタイムパスワード方式の場合、管理者は物理デバイスやスマホアプリを配布し、ユーザーはそれを持ち歩かなければならない。一方でトークンレス・ワンタイムパスワード方式の場合は、ログインに使うブラウザ上だけで完結する。テレワーク環境では特に便利だろう。

 トークンレス・ワンタイムパスワード方式は、導入/運用のコストメリットもある。たとえば生体認証やハードウェアトークン型のワンタイムパスワードのように、特別なデバイスをユーザー数ぶん追加購入する必要はない。

 このようにトークンレス・ワンタイムパスワード方式は、ユーザー、システム管理者、経営者それぞれにメリットのある、「安全性」「効率性」「コスト」のバランスに優れた本人認証方式だと言える。

トークンレス・ワンタイムパスワード方式は、安全性/効率性/コストのバランスがとれた認証方式

幅広い業務アプリと認証連携する「PassLogic」、2要素認証も実現

 このトークンレス・ワンタイムパスワード方式を採用した認証プラットフォーム製品が、パスロジが開発/提供する「PassLogic(パスロジック)」である。社内サーバーに導入するパッケージ版は、これまで117万件以上のライセンスを発行してきた高い利用実績を持つ。これに加え、2020年3月からはクラウド版の提供もスタートした。

パスロジが提供する認証プラットフォーム「PassLogic」の利用イメージ

 PassLogicの特徴はまず、SAML2.0、RADIUS、リバースプロキシ(HTTP)といった連携方式を備えており、幅広い業務アプリケーションの認証を単一サーバーでまかなえる点だ。連携検証済みの代表例を挙げると、「Office 365」「G Suite」「Salesforce」といったクラウドアプリケーション(SaaS)、「サイボウズOffice」「Desknet's NEO」などの社内サーバー型Webアプリケーション、「VMware Horizon」「Citrix XenDesktop」などのVDI/DaaS、そして「Cisco ASA」「FortiGate」といったVPN装置などだ。また、Windows OSサインイン時の認証にPassLogicを使うこともできる。

 PassLogicは、複数アプリケーションへのシングルサインオン(SSO)にも対応している。SSO環境にすると、ユーザーは一度のログイン操作ですべての業務アプリケーションにログインできるようになり、使い勝手が大幅に向上する。

PassLogicは幅広い認証連携方式に対応。社内/クラウドの幅広い業務アプリケーションをカバーする

 さらにPassLogicは2要素認証にも対応している。たとえばテレワーク環境の場合は、前述したトークンレス・ワンタイムパスワード認証に、クライアント証明書による「端末認証」を追加するのが便利だろう。これならば固定パスワードなし、認証用デバイスなしで簡単に2要素認証を実現し、テレワーク環境のセキュリティを強化することができる。

 ちなみにPassLogicは、端末認証で必要となるクライアント証明書の自動発行/管理機能も内蔵している。証明書は、管理者があらかじめ端末にインストールして配布するだけでなく、ユーザー自身で初回ログイン時にダウンロード/インストールしてもらう設定も可能だ。これと同様に、Active Directory/LDAPサーバーに追加されたユーザーの新規登録や「パターン」を忘れた場合の再設定などの作業も、ユーザー自身で(セルフサービス型で)行えるように自動化されており、ユーザーサポートの負担を大幅に軽減してくれる。

トークンレス・ワンタイムパスワードとクライアント証明書による二要素認証

クラウド版も登場、より導入しやすくなったPassLogic

 前述したとおり、PassLocgicでは高い利用実績を持つパッケージ版に加えて、2020年3月からクラウド版の提供をスタートしている。クラウド版を利用すれば、社内サーバーを構築/運用することなくPassLogicが導入できる。社内システムのクラウド化を進めている企業、IT運用管理を省力化したい企業におすすめだ。

 またパッケージ版でも、「買い切り型ライセンス」に加えて「年額サブスクリプションライセンス」が選択できるようになっており、導入初年度のコスト負荷が低減できる。なおパッケージ版、クラウド版とも、30日間の無償お試し利用が可能だ。

 「――なるほど、テレワーク環境でもPassLogicを入れれば安心そうだな」。Z社の情シス担当者、X氏は、パスロジのWebサイトを読みながらそう納得していた。

 トークンレス・ワンタイムパスワード方式は社内のユーザーも直感的に理解しやすく、また多数ある業務アプリをSSO化すれば、今よりもむしろ利便性が高まるだろう。管理者としては、簡単に2要素認証が実現する点がうれしい。セルフサービス化/自動化で、ユーザーサポートの手間が省ける点にも期待できる。

 クラウド版ならばすぐに試せるので、まずはこれで試してみよう。X氏はそう考えている。

(提供:パスロジ)

カテゴリートップへ

ピックアップ