連載
» 2019年08月28日 05時00分 公開

「今知りたい! システムを守る認証の実態」セミナー:【7pay、Omni7問題】企業、利用者、メディア、エンジニアは何を教訓にすべきか (1/2)

2019年7月、NPO日本ネットワークセキュリティ協会が「今知りたい! システムを守る認証の実態」セミナーを開催。「認証」と「セキュリティ」をキーワードに3人の登壇者が、現在、事業者そして利用者ができることを語る会となった。

[宮田健,@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 2019年7月、NPO日本ネットワークセキュリティ協会(JNSA)は記者に向けたセミナー「今知りたい! システムを守る認証の実態」を開催した。このセミナーは、最近のスマートフォン向け決済サービスの不正利用事件を受け、近年のインターネットサービスにおける認証技術と運用上の実態に関して、より正確な現状を認識するために企画されたもの。「認証」と「セキュリティ」をキーワードに3人の登壇者が、現在、サービスを提供する企業、そして利用者ができることを語る会となった。

 この中では幾つもの有益な情報や提言が含まれていた。その一部を紹介しよう。

認証とは何か/認証技術の現状

ココン 技術領域投資室パートナー 林達也氏

 ココン 技術領域投資室パートナーの林達也氏は、認証の基礎的な部分に関して解説を行った。林氏はOAuthやOpenID connectの標準化に携わるなど、“認証”を追いかけ続けたエンジニアの一人だ。

 「認証の分野は以前に比べるとスケールするようになった」と林氏は述べるが、同時に「インターネットは人間の生理感覚以上に制度設計が追い付いておらず、攻撃者のスケーラビリティの方が上だ」とも述べる。その結果が、昨今報道されるような大規模な情報漏えい事件につながっている。

 認証に関しては、米国国立標準技術研究所(NIST)による「NIST SP800-63-3」(PDF)、「Electronic Authentication Guideline(電子的認証に関するガイドライン)」が参考になる。認証とはそもそも、「情報システムに対して、デジタルで表現されたユーザーのアイデンティティーの確からしさを確立するプロセス」であり、実体をアイデンティティーとひも付けるものだ。これを実現するための認証の要素は「知識」「所有」「生体」があり、そのうち2つを利用するものが「二要素認証」だ。また、パスワードの定期変更やSMS認証、秘密の質問など「専門家的には新規に使うべきではないとする方法」に関しても、このNIST SP800-63-3に詳しい。

 FIDO 2.0/WebAuthnなど認証に関する技術は環境変化が激しいものの、その専門家は「圧倒的に少ない」(林氏)。認証について、企業には個人情報保護法や資金決済法をはじめとする社会的な要求が増えているものの、認証のエキスパートが世界的に見ても足りないという。その結果、「おそらく認証周りで潜在的に問題を抱えているサービスは多いのではないか」と林氏は考えている。

 この後登場するディー・エヌ・エー システム本部 セキュリティ部の茂岩祐樹氏が「セキュリティはITの総合格闘技である」と言っているが、林氏はこれに触れ、「もう一段階広げ、法律の専門家なども含めた“チーム戦”を展開しなければならないのではないか。『こういう攻撃手法があります』というのが分かっているにもかかわらず、何もしなければやはり『事故』という扱いになる。これをキチンとやっていくためには、知識と専門性が必要だ」と述べた。

インターネットサービスにおける攻撃と対策

ディー・エヌ・エー システム本部 セキュリティ部 茂岩祐樹氏

 ディー・エヌ・エーの茂岩氏は、さまざまなサービスを持ち「ログインできる箇所がいっぱいある」という同社の特徴から、どのような攻撃を受け、どのような対策を行っているかを解説した。

 認証にまつわる攻撃手法としては、例えばパスワードリスト型攻撃、ブルートフォースアタック、フィッシング、セッションハイジャックなどが挙げられる。これらの攻撃が成立すると、不正購入や不正送金が行えてしまう。企業側の対策としてはそれぞれに手法が確立しているものの、それらは「限定的」と言わざるを得ない。

 最近はパスワードリスト型攻撃が世間を騒がせているが、「認証を突破する確率は低い」(茂岩氏)。そのため、「失敗が多い」ということを検知することで、攻撃を受けたことを知ることはできる。また、失敗が多いとはいえ、ID/パスワードの組み合わせが正しければ認証に成功してしまうため、企業として「大規模にやられることを防ぐ努力は必要」と茂岩氏は述べる。

 1社だけでは防げないことから、ディー・エヌ・エー単体ではなく多くの関連企業と手を組み、JPCERTコーディネーションセンター(JPCERT/CC)が主体となる「STOP! パスワード使い回し! キャンペーン」のような取り組みで、利用者にも協力を求めている。

 茂岩氏は、利用者に向けて「パスワードを使い回さないこと」「メールの運用は二段階認証を用いて厳重にすること」「デバイス管理の徹底を行うこと」が重要だとし、企業に対しても「認証フローの設計をチェックすること」「最低認証強度の底上げ」「サービス特性に合わせた認証システムの導入」などを提言した。

認証を突破されないためには、利用者と企業双方での取り組みが必要だ
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。