[eWEEK]
セキュリティ技術:「二重認証」はいまだ死なず

Ohn McNulty
2005/4/16

 高名なセキュリティ専門家のBruce Schneier氏が先日、「The Failure of Two-Factor Authentication(二重認証の破たん)」という表題の小論を書いた。Schneier氏の論説は、金融ITセキュリティ業界における議論を刺激した。Schneier氏が提起した問題は、根拠が確かであり、筆者の会社の顧客にとって深刻なものだったが、筆者には二重認証が破綻したとは思えない。

 従来からある固定パスワードは、容易に盗み出すことが可能で、繰り返し利用できるため、多くの組織で深刻化が進む脆弱性の典型となっている。一方の二重認証は、2つの要素が必要とされるため、従来のパスワードよりはるかに安全性が高い。暗証番号とハードウェアトークンのようなデバイスを同時に使い、ユニークな使い捨ての暗証コードを生成する方法が一般的だ。Schneier氏も述べているように「盗まれたパスワードは次回からは使えない」ため、このことはパスワードの盗難を未然に防いでくれる。セキュリティに対する関心の高い膨大な数の企業や政府機関各所では、パスワード盗難防止のために20年近く前から二重認証を無事に利用してきた。

 絶対確実なセキュリティシステムは存在しない、というSchneier氏の意見には同意する。同氏によると、人が介入する攻撃やトロイの木馬型の攻撃には二重認証もまだ脆弱だという。だが、今日のフィッシング詐欺行為の大半は、大量のユーザー名やパスワードの獲得を目的とした一斉攻撃により、だましやすい獲物を食い物にしている。二重認証によってセキュリティを高めれば、攻撃者らはもっと狙いやすいターゲットに目標を変更する可能性が高い。

 すべての脆弱性に対処するセキュリティツールはないし、各組織は、今後もさまざまな脅威に対応すべく複数のソリューションを導入していく必要がある。だが、ユーザー教育に勝るものは1つもない。パスワードポリシーを定めても1枚の付箋がそれをだいなしにしてしまうように、本人証明に対する軽率な態度が引き起こすリスクをユーザーは認識する必要がある。大半の人は銀行の暗証番号を他人には教えない。コンピュータのセキュリティにもそれと同じ考え方が当てはまるのだ。

 サイバーセキュリティにおける二重認証の役割は、今後ますます拡大し、重要性を増していく。大企業は社内ネットワークやアプリケーションへのリモートアクセスを許可しているため、今後も二重認証を利用し続けることになるだろう。二重認証とユーザー教育の組み合わせはコンシューマー市場の本人確認ソリューションに欠くことのできないものだと考えられているが、R&Dの重点は、回線を見張ってトランザクションを検査する新技術に置かれている。

 どのセキュリティソリューションにも短所はあるが、それを現時点で最高のセキュリティソリューションを導入しないことの口実にしてはならない。二重認証を導入し、暗証番号を電子メールで教えないようユーザーを教育すれば、フィッシング詐欺の沈静化に大いに効果があるだろう。業界の調査を行うForrester Researchは、「個人情報の盗難やオンライン詐欺を阻止する万能薬ではないが、現時点で最高のソリューションは強力な(二重)認証である」、と先ごろ出した報告書を結んでいる。

[英文記事]
Two-Factor Authentication Still Strong

[関連記事]
個人情報保護法対策に暗号メールゲートウェイはいかが? (@ITNews)
Curlの弱点を暗号で補う開発・実行環境、NTTソフト (@ITNews)
電子メールアドレスを公開鍵にすると何がよくなる? (@ITNews)
電子メールアドレス=公開鍵で暗号の利便性がアップ!? (@ITNews)

Copyright(c) eWEEK USA 2002, All rights reserved.

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -