「ID管理」甘く考える企業は、情報漏洩に要注意 徳丸浩氏「日本のセキュリティはひどい状況」
中央省庁でもID管理不備で重大なインシデント
EGセキュアソリューションズ株式会社代表。脆弱性診断やコンサルティング業務のほか、ブログやYouTube、著作を通じてセキュリティの啓発活動を展開している。代表的な著書に『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』(SBクリエイティブ)。
――近年の顧客情報漏洩インシデントには、どのような傾向があるのでしょうか。
徳丸 大きく2つに分けられます。1つは、顧客情報へのアクセス権限を持つ企業や団体の「中の人」が関与するケースです。非常に古典的ですが、いまだになくならない原因となっています。もう1つが「パスワードリスト攻撃」です。数年前から増えている厄介な手口で、サイバー攻撃などで入手したIDやパスワードなどを使う方法ですが、的中率が意外と高くて10%を超えることもあります。最近は、クラウドストレージからの漏洩も目立ちますね。
では、どう対策すればいいのかというと、なかなか難しいのが現状です。監視を強化するといってもノウハウが必要ですし、最近「パスワードリスト攻撃」は巧妙になっています。
そもそも、顧客のIDやパスワードなどを管理するのは高度な専門技術と知識が求められるわけですが、日本の企業や自治体はそのあたりを甘く考えているのではないかと感じています。
第2営業統括部 第6営業部 第1課 課長
小田切 悠将 氏
象徴的なのが、中央省庁のあるオンライン受付システムです。複数人が同一時刻に登録作業を行うと同一IDが付与され、しかもエラーチェックがなされない設計となっていました。ありえない事態ですが、それが平気で起こっているのが日本のセキュリティの状況です。
小田切 徳丸さんのおっしゃる「甘く考えている」というのは、私も肌で感じているところです。極端ですが「データベースを用意してIDとパスワードを保存すればいい」と認識している人も少なくありません。
渡邉 崇 氏
野村證券、アドビ、SAP、クラウド専業コンサルティングファームAppirio日本法人社長を経て現職
ただ、ID管理はどうしても裏方仕事になりますのでエンジニアのモチベーションが上がりにくく、フロント部分の開発よりはどうしても“本気度”が低くなるので、結果として手薄になってしまっているのが実情ではないでしょうか。
渡邉 小田切さんの指摘は、当社のパートナー企業の調査結果でも裏付けられていて、企業・団体のITセキュリティ投資のうち、ID管理に使われているのはわずか5%です。
一方で、情報漏洩の原因の8割以上がIDとパスワードの組み合わせであるクレデンシャル情報だという調査結果もあり、リスクに対して適切な投資がなされていないと言えるのではないでしょうか。
