認証についてはずいぶん誤解があるようだ。コンピュータ、ネットワークのリソースに対する認証を行う必要性としては、利用者がそのリソースに対しての適切な利用を行う権利を判別するということなのだが、ここでそれを行うのは利用者たる人である。認証というのは秘密を守ることなのだが、守りたいと思うものでなければ、人は積極的には守りたいという気持ちにならないということに気づかなければいけない。
また、人の中に潜む怠惰性に気づかなければ、全体のセキュリティを維持することはできない。
提供者と利用者との間に意識の差がある。これが大きいとどんな手段を講じたところで、うまく運用はできない。認証のための技術はあくまで手段であって、目的ではない。
私は学生時代にコンピュータを使うようになった。当時の大学のコンピュータのアカウントは、授業のたびに変わるし、授業の期間だけしか使えないものだった。課題を行うだけに使うだけで、興味のない人にとっては、最低限のことだけ終われば無用のものであるが、使いたいものにとっては、その利用権はとても価値がある。したがって、アカウントは学生間でシェアされていた。
特に学校で起こりやすいのは利用者と提供者、運用者に意識の差が大きいことである。
運用者側は、使うべきでない人には使って欲しくないと思っているが、学生、生徒の利用者にとっては、どうせみんな使っているものだし、人が使ったところで自分が困るわけではない。お金を払わないといけないわけでもない。そういうものだったら、どんな認証を採用しても無力で、秘密は守られない。
学校での無線LANの利用が問題になっているが、生徒、学生の利用環境がそういう状況にあれば、守るのは無理だろう。おそらく、中学、高校では、まだネットワークを使って、自分の学校での成績や、アクティビティを管理することは行われていることは少ないだろう。したがって、無線LANの認証を単に教材にアクセスすること、ネットワークに繋がること以外のものではない。ましてや、教材にアクセスする時には別のパスワードが必要だったら、なおのことだ。
自分がとても困るものでなければ、積極的には守らない。無線LANの SSID/共有キーなんか最たるもので、自分の家の中のものくらいはさすがに守るだろうけど、そうじゃないものなんか、簡単に教えるだろう。たとえ、802.1X認証をしたところで、それが無線LANだけでしか使ってないものであれば、全然無意味である。これは、公衆無線LANサービスでも同じだ。
よく統合認証の必要性を話すと、1個がばれると全部やられるので、統合認証は行わない、積極的に排除するというという人がいるが、統合認証でなく個別認証の場合には、特にネットワークリソースに関しては無力に近い状態になるのは目に見えている。それに面倒なことは嫌いなので、いくら禁止したところで、同じパスワードを使う。
この問題を解決する方法は2通りある。一つは、完全な統合認証による管理である。重要情報、個人情報を含み、いつもアクセスしないといけないもので、アクセス状況がよく見える認証で、組織内のすべてのリソースを管理する方法である。もちろん、統合する以上、大切なものがその中に含まれていなければならない。しかし、学校では現実的にはこの方法は厳しいだろう。というのは、教務と教育は別々のものとして取り扱われることが多く、もっぱら情報系の教育用の管理では、ネットワークリソースを保護するモチベーションは出てこない。
もう一つは、ネットワークリソースに関しては、パブリックなものにしてしまうという方法である。インフォメーションリソースは、すべてクラウド化し、ネットワークに関しては、公衆アクセス化するのである。公衆アクセス化するといっても、自由に誰でもアクセスできるようにするというわけではない。携帯電話の利用とセットにするとか、一般に利用している権利と同じく共通した権利でアクセスできるようにするということで、いつだれがアクセスしたかは管理されているものを使うということである。そういうものであれば、不正なアクセスで利用できなくなると困るので、ちゃんと自分の権利は管理する。そして、インフォメーションリソースにアクセスするときは、そのための認証をする。当然、どこからでもアクセスすることが可能なので、多要素認証をするなど、一定の考慮をしなければならない。
ネットワークリソースの利用を制限するのは、難しくなっている。どんな組織でもゲスト利用者が存在する。ゲスト利用の管理コストは馬鹿にならないので、そのニーズが大きい場合には、この方式も検討すべきであろう。飲食店や、パブリックスペースで、携帯電話キャリアの無線LANを導入しているのは、この方向性である。
認証については、IDとパスワードによるものが主である。それをどう強化していくかがカギになる。アクセス可能な物理的な場所を制限するという方法が、かつては一般的であったが、クラウド環境がさらに進んでいく中では、今後は非常に限られた場合だけになっていくだろう。やはり、デバイスを利用した多要素認証が主になると考えられる。それと、統合認証、シングルサインオンの導入であろう。繰り返すと
- たくさんのユーザID/パスワードは覚えるのが大変!
- 大切ではないもの(eg. 無線LAN)などは適当に扱う
そのため、個別認証は、結局全体の平均的セキュリティレベルを下げることにつながる。とても大切なので、大事に守る、いつも使っているので、何かあればすぐわかる、というものであることが一番重要だ。監視においても、あり得ないような使いかたが行われた場合には、ユーザにも管理者にも発見の機会が増える。
ところが、個別技術にこだわり、人の挙動、行為の問題を考えない、小手先の技術だけのセキュリティ担当者は誤解している。ひとつ破られたら全部破られてしまうと考え、個別認証を主張する。
認証に関しては、非常に思い込みの強いことが多いのも確かである。その一つが、パスワードは一定期間ごとに変更すべきである、という考え方である。この考え方は現在否定されているが、長くこの必要性が主張されてきた。パスワードは、パスワードポリシーが厳しくなり、英数字だけでなく、数字、記号を混ぜることが求められるようになってきている。これは、平易な辞書攻撃(ディクショナリアタック)でパスワードを破られないためであるが、これを毎月変えないといけないとなると、大変な話である。当然だが、メモを取るユーザが増えてくる。さらに、いくつかのパスワードを順に使いまわすということが起こる。これが、実際にはセキュリティレベルを下げているという実態がわかってきたため、この定期的なパスワード変更を強制するべきという考え方は否定された。
「強制的なパスワード変更は考え直すときだ」。と、2016年3月2日に米国で消費者の保護を担う連邦取引委員会(FTC)のローリー・クレーナー最高技術責任者がブログに問いかけたことから、急速に議論が進んだ。
マイクロソフトは以下のような内容を含んだホワイトペーパーを公表した。
管理者向けのアドバイスとして、
- 8文字以上のパスワード長を維持するようにする(ただし、長ければいいというものではない)
- 文字種による制約は取りやめる
- 定期的なパスワードの変更をユーザに求めることをやめる
- 一般的なパスワード、わかりやすいパスワードはシステムから排除する
- 業務以外で使っているパスワードを業務システムで使わないようにユーザを教育する
- 多要素認証の利用を強制する
- リスクベースの多要素認証の導入を行う
補足すると、大文字小文字、数字、記号などを強制したところで、ユーザは似たような挙動の使い方をするので、攻撃者はそれを突いた攻撃を行うため、かえって単純になり、危険性が高まるということで、大文字で始まり、a→@, i→1, s→$などの置き換えを行い、最後に数字をいくつか付ける。これはかえって攻撃者の選択肢を減らすので意味をなさない。定期的なパスワード変更は前に書いた通りで、使いまわしやメモ、連想をしやすいパスワードの組み合わせなど破りやすい状況をかえって招く。業務以外のパスワードは、漏洩事件に巻き込まれてその被害に合わないためである。多要素認証が、6, 7 と控えめであるのだが、7 については、始めてアクセスするデバイスや、アドレスからである場合には、いつもと違う多要素認証を求めるとか、多要素認証を原則とした上で、信頼できるデバイスからアクセスした場合には一定期間多要素認証を省略するなどの運用を行うという意味である。そして、利用者には次のようなアドバイスをしている。
- マイクロソフトアカウントには、他とは違うパスワードを使うようにする
- 自分のセキュリティ関係の情報は最新のものにする。特に携帯電話の番号や、補助連絡用のメールアドレスの情報である。
- 疑わしいアクティビティに注意する。自分が行ったのではないアクセスと疑われるようなものがないか常に注意するということである。
- 2段階認証(2要素認証)を有効にする
- 自分の使っているオペレーティングシステムや、ブラウザや、ソフトウエアを最新のものにする
- 疑わしいメールや、Webサイトに注意する
- アンチウィルスプログラムをインストールする。マイクロソフトでは、Window 10 を使っている場合には、標準の Defender で十分であると書いているが、現在の最新の Windows や、Mac では複雑な他のソフトウエアを導入することが特別なことを必要とするユーザ以外は不要になっている。
多要素認証は、SMSを利用したものや、One-time パスワードを発生するスマートフォン用のアプリケーションや、専用デバイスによって行う。
最近は、スマートフォンの普及も相まって、スマートフォンのアプリケーションで、ワンタイムパスワードを発行するアプリを使うケースが増えてきているのだが、金融機関ではどうも専用のデバイスを使いたがる傾向がある。これも、実はいつも肌身離さず持っているものではない、特殊なものであるので、その所在に注意を払わないという問題が起こる。使用頻度が低いものを利用するというのは、個別認証の場合と同じように穴を作るリスクをもっている。これも、技術に拘泥し、人の行動を考えないものであるので、考え直した方がよいと思う。
オンラインショッピングのサイトでは、あまり多要素認証の利用は見られない。ただ、金銭的な被害を防ぐ一定の方法は講じているようだ。ログインできたからといって、クレジットカードの番号を知ることができないのは、もはや一般的である。では、買い物をして別のところに送るというのはどうかというと、Amazon では新たな配送先を指定すると、クレジットカード番号を全桁入力しなければならないので、この対策は一応できている。他のサイトでは、パスワードの再入力を求められるものがあるが、これはパスワードが破られている場合には無力であるから、リスクベースの多要素認証の導入が必要なケースである。
SNS では、多要素認証のサポートは出来ているので、ユーザがそれを必ず有効にすべきである。SNS のアカウントの乗っ取りの目的のほとんどは、なりすましをして、金銭的な詐欺を行うことである。この被害に合わないようにするには、オレオレ詐欺(振り込め詐欺)と同じで、おかしいと思ったら、勇気をもって電話をするなりの確認をすることである。
ただ、それに加担しないためには、むやみにあれこれとアカウントを作り、パスワードを忘れるのは問題があるので、使わないものはさっさと消していくことも必要である。
基本的に、一般のパスワード破りのほとんどの目的は金銭的な利益であると考えたほうがよい。だだし、最終的な金銭的な利益を得るための手段はいろいろある。企業の有する情報の価値は言うまでもないが、個人の有する情報の価値に対する認識は、一般には考えられないことも多い。SNS のアカウントの乗っ取りによる詐欺はその一例である。
米国で起こった Celebgate 事件や、日本で押切もえさんらのアカウントが破られた件に見られるように、非常に価値の高い個人の有する情報と、その利用者のセキュリティ意識のレベルに大きな差がある時には、被害に会いやすい。米国の事例では、非常に巧妙なフィッシングが用いられたが、一人が破られるとそこから芋ずる式に、メールアドレスや個人情報が流出し、大きな被害につながるということを露呈した事件でもある。
今の時代、個人の有する情報、生み出す情報が大きな価値をもっていることを認識しなければならない。