叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

ログイン認証の混乱(2) ~多要素認証とFIDO~

2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。

テレワークの普及により、クライドサービスの利用が拡大しました。

クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。

一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。

サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。

テレワーク下で期待された防御策が「多要素認証」です。

多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の要素を組み合わせて認証するセキュリティ手法です。

認証は、以下3つのタイプの要素があります。

要 素 認証方式の例
記 憶 パスワード認証/暗証番号(PINコード)等
所 持 端末認証/ICカード認証 等
属 性 生体認証(指紋認証/顔認証 等)

多要素認証は、ひとつだけの認証より、セキュリティを高めることができます。例えば、パスワードを知っているだけではアクセスできないよう、さらにスマートフォンで生成されたワンタイムパスコードを要求するなどです。

これにより、不正アクセスを困難にし、セキュリティを強化することができます。

しかし、テレワークは、コロナ禍において急速に普及が拡大しましたが、いまは違います。新型コロナウイルス感染症の5類移行等もあり、多くの会社がオフィス勤務に戻しました。テレワークの時代、マネジメント業務や、社員同士のコミュニケーションでの問題が生じました。

残念ながらテレワークは、生産性を下げる要因とみなされたのです。

テレワークからオフィスに出勤となると、二要素認証は可用性を損ねるリスクが高くなります。

なぜなら、ワンタイムパスワードを生成するスマートフォンを自宅から持ってくるのを忘れたら、ログイン認証そのものができなくなります。あるいは、会社に持ってきた、スマートフォンの電源が切れてしまったら、充電するまで、システムへのログインができなくなります。

この場合、社員は会社のシステム管理者に連絡することで回避するでしょう。管理者は、社員の要求に従って、一時的にアクセス権を提供したり、二要素認証の一時的な解除を行ったりするなどです。

利用者にとっても、システム管理者にとっても、ちょっと面倒です。

最近、わたしは、システム管理者と「多要素認証は安全かもしれないけど、手間もかかるよね~」と、話をしたとき、彼はこう言いました。

自分の希望としては「FIDO」になればいいと思っているんだけどね・・・

「FIDO」は認証の規格を定義する枠組みです。よく生体認証と同一視されますが、実際はパスワードを使わない認証を目指す取り組みを指します。

単純な生体認証は、ユーザーの身体的特徴をキャプチャし、それを予め登録されたデータと比較することで認証を行います。例えば、指紋センサーは指紋をスキャンし、それを登録データと比較して一致すれば認証が成功します。

一方、FIDOは公開鍵暗号方式を使用して認証を行います。

利用者がFIDO対応のデバイスを使用してサービスに登録すると、そのデバイスに秘密鍵が保存され、サービス側には公開鍵が保存されます。認証時には、秘密鍵が公開鍵を用いて利用者を認証する仕組みです。

FIDOは、公開鍵認証ですので、サービス側に生体情報を保持しないよう設計されています。生体情報は認証デバイスでのみ使用され、秘密鍵とともに安全に保管されます。

FIDOの導入により、プライバシーとセキュリティが高まることが期待できます。

しかし、いま現在、世の中のログイン認証方式で、FIDOが普及しているとは思えません。

FIDOが普及していない要因として、よく言われるのは、システムを更新するための初期投資がかかることと、FIDOそのものの知名度の低さです。

ただ、わたしはお金の問題や、知名度の低さは、表面的な要因だと思ってます。

実をいうと、なんやかんや言っても、わたし達は「パスワード認証」から抜け出せない気がします。

古典童話の「アリババと四十人のとうぞく」では、有名な「開けごま」という呪文が登場します。

この呪文、いまでいう「パスワード認証」です。

まきを売って生活しているアリババは、ある日とうぞくが「開けごま」ととなえ、岩壁を開け閉めするのを木の上から目撃しました。とうぞくが居なくなった後に、ためしてみたら扉は開きました。アリババは金貨を袋に詰めて持ち帰るというお話です。

幼い頃から、認証といえば、パスワードというのが、脳内に深く刻まれています。

新しい技術に移行する必要性を感じにくいのです。