2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。
テレワークの普及により、クライドサービスの利用が拡大しました。
クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。
一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。
サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。
テレワーク下で期待された防御策が「多要素認証」です。
多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。
認証は、以下3つのタイプの要素があります。
要 素 | 認証方式の例 |
---|---|
記 憶 | パスワード認証/暗証番号(PINコード)等 |
所 持 | 端末認証/ICカード認証 等 |
属 性 | 生体認証(指紋認証/顔認証 等) |
多要素認証は、ひとつだけの認証より、セキュリティを高めることができます。例えば、パスワードを知っているだけではアクセスできないよう、さらにスマートフォンで生成されたワンタイムパスコードを要求するなどです。
これにより、不正アクセスを困難にし、セキュリティを強化することができます。
しかし、テレワークは、コロナ禍において急速に普及が拡大しましたが、いまは違います。新型コロナウイルス感染症の5類移行等もあり、多くの会社がオフィス勤務に戻しました。テレワークの時代、マネジメント業務や、社員同士のコミュニケーションでの問題が生じました。
残念ながらテレワークは、生産性を下げる要因とみなされたのです。
テレワークからオフィスに出勤となると、二要素認証は可用性を損ねるリスクが高くなります。
なぜなら、ワンタイムパスワードを生成するスマートフォンを自宅から持ってくるのを忘れたら、ログイン認証そのものができなくなります。あるいは、会社に持ってきた、スマートフォンの電源が切れてしまったら、充電するまで、システムへのログインができなくなります。
この場合、社員は会社のシステム管理者に連絡することで回避するでしょう。管理者は、社員の要求に従って、一時的にアクセス権を提供したり、二要素認証の一時的な解除を行ったりするなどです。
利用者にとっても、システム管理者にとっても、ちょっと面倒です。
最近、わたしは、システム管理者と「多要素認証は安全かもしれないけど、手間もかかるよね~」と、話をしたとき、彼はこう言いました。
自分の希望としては「FIDO」になればいいと思っているんだけどね・・・
「FIDO」は認証の規格を定義する枠組みです。よく生体認証と同一視されますが、実際はパスワードを使わない認証を目指す取り組みを指します。
単純な生体認証は、ユーザーの身体的特徴をキャプチャし、それを予め登録されたデータと比較することで認証を行います。例えば、指紋センサーは指紋をスキャンし、それを登録データと比較して一致すれば認証が成功します。
一方、FIDOは公開鍵暗号方式を使用して認証を行います。
利用者がFIDO対応のデバイスを使用してサービスに登録すると、そのデバイスに秘密鍵が保存され、サービス側には公開鍵が保存されます。認証時には、秘密鍵が公開鍵を用いて利用者を認証する仕組みです。
FIDOは、公開鍵認証ですので、サービス側に生体情報を保持しないよう設計されています。生体情報は認証デバイスでのみ使用され、秘密鍵とともに安全に保管されます。
FIDOの導入により、プライバシーとセキュリティが高まることが期待できます。
しかし、いま現在、世の中のログイン認証方式で、FIDOが普及しているとは思えません。
FIDOが普及していない要因として、よく言われるのは、システムを更新するための初期投資がかかることと、FIDOそのものの知名度の低さです。
ただ、わたしはお金の問題や、知名度の低さは、表面的な要因だと思ってます。
実をいうと、なんやかんや言っても、わたし達は「パスワード認証」から抜け出せない気がします。
古典童話の「アリババと四十人のとうぞく」では、有名な「開けごま」という呪文が登場します。
この呪文、いまでいう「パスワード認証」です。
まきを売って生活しているアリババは、ある日とうぞくが「開けごま」ととなえ、岩壁を開け閉めするのを木の上から目撃しました。とうぞくが居なくなった後に、ためしてみたら扉は開きました。アリババは金貨を袋に詰めて持ち帰るというお話です。
幼い頃から、認証といえば、パスワードというのが、脳内に深く刻まれています。
新しい技術に移行する必要性を感じにくいのです。