登壇者プロフィール
Capy株式会社 ホワイトハッカー
IPA(情報処理推進機構)産業サイバーセキュリティセンター非常勤講師
松本 悦宜氏
例年ラスベガスで行われている世界最大のハッカーのイベントBlack Hatに登壇。IPA(情報処理推進機構)が運営する産業サイバーセキュリティセンターにて非常勤講師として中核人材向けのITセキュリティを教えている。著書(共著)は、WordPressプロフェッショナル養成読本(技術評論社)、インターネット白書2015(インプレスR&D)。
ユーザー認証の選び方
自社に最適なユーザー認証の選び方として、セキュリティリスク、コスト、ユーザビリティという3つの観点を用意しました。これらをバランス良く両立させることが大切です。
セキュリティリスク
まず、セキュリティリスクについてです。ログインページなどを有するWebサイトやサービスについては2つのリスクがあります。パスワードリスト攻撃とフィッシング攻撃です。
パスワード攻撃は、攻撃者がどこかで入手したID・パスワードのリストを用いて、正規ルートから不正にアクセスを試みるサイバー攻撃のことです。フィッシング攻撃は、偽サイトに誘導した上で、クレジットカードの番号や、ID・パスワードといったアカウント情報など、重要な個人情報を盗み出して悪用するサイバー攻撃のことです。偽物のアドレスから、「不正ログインを検知しましたので、すぐ確認してください」「銀行口座を凍結しました」という偽メールが届いたことのある方もいるかもしれません。こういったフィッシング攻撃が、日に日に増加しているといわれています。
セキュリティリスクはビジネスの継続性に影響します。場合によってはサイバー攻撃によりビジネスをいったんストップせざるを得なくなります。そしてその分、機会損失が増えたり、費用がどんどんかかったりします。特別損失として計上することになったという事例もあります。
コスト
次に、認証における2つのコストです。1つは初期導入にかかる時間です。システムの構築や導入など、自社で開発したり開発会社に依頼したりなどいろいろな方法がありますが、初期導入にかかる時間は必ず生じると思います。もう1つは、ランニングコストです。運用する上で定期的にどうしてもかかる費用です。
これらのコストは、主に原価と同じように考えられます。できる限りセキュリティを保ったままコストを下げていくことで、原価が安くなります。現実的な認証方法というものも、経営者としては考えなければならないということですね。
ユーザビリティ
最後に、認証におけるユーザビリティです。これには2つの見方があります。1つ目はログインにかかる時間です。ログインがID・パスワードだけであればすぐに終わりますが、ほかにもいろいろ複雑なログイン方法があると思います。2つ目はログインに必要な手順の手段です。ID・パスワードに加えてあれもこれもしないといけない、となるとどうしてもユーザーの使い勝手が悪くなるのでケアが必要です。
ユーザビリティについては私たちもユーザーの観点で、サイトによって「これ使いやすいな」とか「使いにくいな」と感じることがありますよね。どちらかなら使いやすい方を選ぶことになるので、ユーザビリティは売り上げに直結する部分だと思います。
次に具体的な、「ID・パスワード認証」「2段階認証」「パズルキャプチャ(ボット対策)」「ソーシャルログイン」「生体認証」の5つを説明します。
ID・パスワード認証
はじめに、ID・パスワードの認証です。ID・パスワードは古くからわれている方法ですが、新しいWebサービスでも今もなお使われています。パスワード認証における次のようなリスクは避けられないと思っています。
例えば、簡単なパスワードだと推測可能となり破られてしまいます。しかし、複雑なパスワードにしてもらうために、「今、お客様が入れたパスワードは弱いので記号を使ってください」とか、アルファベットの大文字・小文字の併用を指示したりしてしまうと、ユーザーによっては「もう面倒くさい。やめよう」と思って離れてしまいます。また、パスワードが分かれば誰でもログインできるので、他人のパスワードを使っても仕組み上システム側は見破れません。実際に入力しているのが攻撃者・犯罪者であっても、見分けがつかないということです。
最後は、お客様がパスワードを使い回すことです。一人当たり100ぐらいのサービスを使っていると思いますが、100個もパスワードを覚えられないですよね。これらを考えると、パスワードという時点で事業者もお客さまもどちらも負担がかかっているのが現状だと思います。どれだけセキュリティにお金をかけていても、お客様に注意を促しても効果がないということになってしまうので、IDとパスワードだけの認証だと、近い将来限界が来るんじゃないかといわれています。
私もパスワード攻撃の被害現場を見に行ったり、話を聞きに行ったりすることがあります。実際に顧客情報の不正利用によって金銭的な損失を受けているケースや、お客様への対応がすごく大変で、例えば、普通のエンジニアがコールセンターの電話対応に駆り出されたりするケースもあります。そして、お客様によっては攻撃を受けたことをネガティブに感じてしまうので、結果的に企業の信頼の低下につながると思っています。
さらに、ID・パスワード認証はフィッシング攻撃にも弱いです。「まさか、私がそんな偽メールになんか引っかからないよ」と思っていても、最近は巧妙化されていて、ぼーっとしているときに被害にあうなど、常に人間の目では見破るのは正直無理でしょう。そういう意味では、フィッシング攻撃に対してパスワードがいかに簡単に破られるかというのが想像できるかと思います。
2段階認証
専門家の間では2要素認証と言っていますがここでは2段階認証とします。2段階認証というのは、ID・パスワードに加えてワンタイムパスワードの入力を追加することで、ユーザー以外が不正に情報にアクセスすることを防止する仕組みです。
ID・パスワードでログインをして、その後メールやアプリで「あなたの番号は4565」などと発行しその番号の入力を促すので、ID・パスワードが破られたとしても2段階認証があるから問題ないということです。
これはまさにパスワード攻撃対策に適しています。フィッシング攻撃にも有効というふうにいわれてきましたが、最近はこのワンタイムパスワードすら釣られているというところが多いので、注意が必要と思います。
初期導入にかかる時間は、機能を1つ増やすのに約2週間必要です。ランニングコストも10万ログインあたり30~40万円ですが、比較的安価だと思っています。
一番危惧しなければいけないのはユーザビリティです。ログインにかかる時間が長くなってきますし、やはり面倒くさいです。ID・パスワードを入力している時に携帯が横にない場合などは著しくユーザビリティが失われるので、難しいなと思います。
パズルキャプチャ
CAPTHA(キャプチャ)というのは、ログインが人によるものかロボットによるものか見分ける方法です。だいたいセキュリティ攻撃はツールを使ってきます。そこで、ログインが人によるものかどうかを証明させるのです。弊社では『パズルCAPTHA』という製品を提供しています。パスワードリスト攻撃に関してはロボットからの攻撃に関してはすべて遮断しているので問題ありません。フィッシング攻撃に関しても、必ずしも有効ではないですが、検知の一環としても利用できるので、多少は有効といえます。
初期導入にかかる時間は、1週間とかなり短いです。ランニングコストは10万ログインあたり30~40万円です。ログインにかかる時間が短くなってきていて、パズルのピースを左から右へ埋めていくというような簡単な動作でログインできます。評判もおかげさまでいいので、セキュリティを見直す際にはご検討ください。
ソーシャルログイン
ソーシャルログインは外部のLINEやTwitterなどのSNSアカウントを使ってログインすることで、かなり使われている方法です。パスワードリスト攻撃やフィッシング攻撃に対しても一定の対策があるといわれています。
コストも、初期導入にかかる時間というのは少し複雑にはなりますが、ランニングコストは基本的にはかかりません。ユーザビリティに関してもログインにかかる時間は、非常に短いです。入力作業が少なくて、外部アカウントを使っているユーザーさんにとってはすごく分かりやすいと思います。
とても良さそうかなと思うんですけれど、ソーシャルアカウントの所持率が大きく影響するというデメリットがあります。例えば、一番持っている人が多いと言われているGoogleアカウントも77%の人しか持っていないので、残りの約20%の人には別のアカウントを用意しないといけません。じゃあ別のアカウントにしようかというと、今度はLINE IDを持っていない人もいる、Yahoo! JAPAN IDを持ってない人もいるというふうに、アカウントの所持率が影響するのが、難しいところかなと思っております。
生体認証
最後に生体認証についてです。生体認証というのは、指紋や顔などの個人がもつ認証システムになっていて、事前に個人が特定できる生体の情報を登録しておいて認証時に照合して本人確認を行います。よくスマホでやる指紋認証とか顔認証も生体認証の1つです。かなり身近な技術になってきたのではないかなと思います。
生体認証はうまく利用すると、そもそもパスワードを使ったログインが不要になります。最近では、パスワードレス認証やパスワードレスログインといわれ、パスワードを使わないことが可能になっています。
フィッシングに対しても、偽サイトに誘導されたとしても生体認証は自分しか持っていないので、盗られることもなく不正ログインしづらいです。コストは、初期導入にかかる時間としては自社開発をすると1年かかります。ランニングコストは基本的にはかかりませんが、メンテナンスなどは大変になるかと思っております。
弊社製品も生体認証を使っています。サービスとしてこちらをご利用いただくと、初期導入にかかる時間は1週間程度で、ランニングコストも10万ログインあたり30万~40万ぐらいですので、メリットがあるかと思います。
ユーザビリティについては、ログインにかかる時間が短くなります。手や顔をかざすだけで一発ログインということなので、手順の少なさとしてかなりいいのかなと思っています。
おわりに
さまざまな認証方法を紹介しましたが、確実な認証をしながらユーザビリティを保つ観点では、パズルキャプチャと生体認証をおすすめしています。どうしても最初のコストやランニングコストがかかるのが難しい場合は、ソーシャルログインの検討もよいかと思います。
このように、業種やサイトの特性、予算によって、おすすめの認証方法は異なります。「じゃあ、うちはどうした方がいいのかな」「予算これくらいだけど、どうかな」と考えていらっしゃる方は、是非弊社までお問い合わせください。最近、サイバー攻撃がかなり増えています。もしかしたらうちも…という心当たりのある方は、まずはご相談いただければと思います。
登壇企業の製品紹介
本セッションにご登壇いただいた企業様が提供するサイバー攻撃対策製品をご紹介します。
ITトレンドEXPO次回もお楽しみに!
当日のセッションでは、登壇者が視聴者の皆さんからの質問にリアルタイムで答えてくれます。ぜひ次回のITトレンドEXPOへのご参加お待ちしております!(参加無料)
▽ITトレンドEXPOの開催情報はこちら
