情報セキュリティのプロが解説「サイバー攻撃最新動向」(第4回)

不正アクセスを防止する「認証技術」とは

posted by NTT東日本 サイバーセキュリティチーム 北村光翔、岡安翔太、池田悠人

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷

 世間で騒がれるサイバー攻撃の危険性や対策をお伝えしていく連載シリーズの第4回です。

 第2回の記事でも紹介しているゼロトラストモデルは、2010年にフォレスターリサーチ社のアナリストに提唱されたコンセプトモデルです。ゼロトラストモデルでは注目するアーキテクチャとして『データ』、『アイデンティティ』、『デバイス』、『ネットワーク』、『可視化・分析』、『ワークロード』、『自動化』の7つを定義しており、それぞれ求められる情報セキュリティ対策もさまざまです。

 7つの定義の一つである『アイデンティティ』は、ユーザ認証を示しています。

 ユーザ認証は重要な資産(情報)を守る為に最初に行う情報セキュリティ対策の一つであり、多くの企業が導入しています。

 昨今のサイバー攻撃はさまざまな手段を用いて不正アクセスを試みており、攻撃を受けた企業は社内システムの停止・情報漏えいなどの被害だけでなく、不正アクセスによる被害がニュースなどで報道されることにより、企業の信用失墜につながる恐れもあります。こうした情報セキュリティ対策は、今や必須であると言えるでしょう。

 本記事では、不正アクセスを防ぐユーザ認証技術の種類やポイントを紹介します。

ユーザ認証の種類と特徴

 ユーザ認証で最もポピュラーなものの一つが、ユーザ自身が持つ情報(ログインID・パスワード)による「秘密や記憶を用いた本人認証」です。導入しやすく、多くの情報システムの認証で利用されている仕組みですが、予測しやすい情報で登録されていたり、システムとの認証通信が平文でやりとりされている場合は漏えいのリスクが高く、認証情報をどのようにして守るのか考慮しておくことが重要なポイントになります。

 より情報セキュリティを堅牢化する認証手法として、複数の認証技術を組み合わせた二要素(多要素)認証が有効です。例えば、ユーザID・パスワード認証に加えてICカード認証を行う「所有物を用いた認証」を組み合わせたり、静脈認証のような普遍的かつ唯一性を持つ「バイオメトリック認証」を用いることはより有効と言えるでしょう。

ユーザ認証と認可

 認証技術はさらに多様化しており、例えばEDRを組み合わせた多要素認証を用いた認証技術は、ユーザ認証に加え、認証端末情報のヘルスチェック(OSが最新状態か、脆弱性パッチが適用されているかなど)を行うことで、よりセキュアな運用が可能になります。また、認証された後に操作を行えるシステムを制限する、アクセス制御機能を具備した「認可」を取り入れることも有効な情報セキュリティ対策です。「認可」とは、情報システム利用者に対し自身の所掌範囲にのみアクセス権限を付与することで、例えば社内システムの中でも、営業部が利用する範囲、技術部が利用する範囲、社内システム管理部が利用する範囲など明確にポリシーで分け、他部が所掌範囲外の場所にアクセスすることを技術的に制限するといった対策です。

 認証技術の高度化と認可も組み合わせた形で情報セキュリティ対策を行うことは、ゼロトラストモデルにおける「アイデンティティ」要素を強め、ゼロトラストモデル移行へのステップ材料の一つとなりえるでしょう。

なくならない不正アクセスに対抗するには

 情報セキュリティ対策の一つとして広く浸透している認証技術ですが、サイバー攻撃の多様化による不正アクセスリスクの増加に伴い、その対策はますます重要視されています。

 対策の一つは多要素認証などを用いた不正アクセスそのものの防止ですが、その他に不正アクセスを許してしまったとしても影響を最小限に留める認可技術を組み合わせることで、事前対策と事後対策の両方を導入する方法もあります。

 企業において認証技術の導入・更改を検討する際は、技術観点だけでなく、導入コストや人事異動などが発生した際のユーザ情報管理のしやすさといった、それぞれのニーズに合った製品を選定していくことが重要と言えます。

このエントリーをはてなブックマークに追加
Evernoteに保存
印刷
NTT東日本 サイバーセキュリティチーム 北村光翔、岡安翔太、池田悠人

NTT東日本 サイバーセキュリティチーム 北村光翔、岡安翔太、池田悠人

「ビジネスの最適解」をお届けします 無料ダウンロード資料


メルマガ登録


「人材不足」を働き方改革で乗り越える


教育機関向け特集


自治体向け特集


イベント・セミナー情報


ICTコンサルティングセンタ

ページトップへ

close