日本企業の68％｢ID･パスワード｣でいまだシステム管理《それはまさに｢玄関の鍵｣が簡単に盗める状態》狙われて当然の訳

さらに問題なのは、IDとパスワードのみによって守られた入り口があまりにも脆いことにある。攻撃者は、弱い認証や使い回された認証情報を足がかりに、正規の利用者になりすまして企業システムの内部に入り込む。

防御側がどれだけ監視を強化しても、入り口の鍵そのものが盗まれやすい状態であれば、侵害を防ぎ切ることはできない。AI時代において、玄関先に合鍵を置くような認証のあり方は、もはや通用しない。

狙われているのは「特権アクセス」

特に深刻なのは、開発者、IT管理者、セキュリティ担当者などが持つ特権アカウントの侵害だ。これらの権限を奪われると、攻撃者は単なる一利用者ではなく、システム全体を操作できる立場を手に入れることになる。

言い換えれば、一般の認証情報が“玄関の鍵”だとすれば、特権アカウントは“建物全体を開けるマスターキー”に近い。ひとたび、それが奪われれば社内ネットワークを自由に行き来し、業務システムに入り込み機密情報、さらには顧客データの取得にまで被害が広がりかねない。

こうしたリスクに対して、デジタル庁も警鐘を鳴らしている。改定版の本人確認ガイドライン「DS-511」では、高リスクな操作に対して「フィッシング耐性のある認証」を明確に求めている。