ガイドラインの整備が進む一方で、なお日本企業の対応は立ち遅れている。現場では依然としてパスワード中心の運用が残り、認証のあり方そのものを見直す動きは十分とはいえない。
求められるのは「盗めない鍵」
この状況を変えるには、鍵そのものを変える必要がある。
まずは、多要素認証(MFA)の導入が第一歩となる。スマートフォンの認証アプリや生体認証など、複数の手段を組み合わせることで、パスワード単体に依存するリスクを大きく下げることができる。
そのうえで、より高い耐性が求められる場面、開発者、IT管理者、セキュリティ担当者などの特権ユーザーや機密データへのアクセスなどでは、「FIDO2」や「WebAuthn」(パスワードを使わずに安全にウェブサイトやアプリにログインするための世界共通の標準的な枠組み・ルール)に対応したハードウェアセキュリティキーが選択肢となる。
ハードウェアセキュリティキーとは、USBのようにパソコンに差し込んで使う小さな端末だ。パスワードやワンタイムコードは盗まれれば成立してしまうが、ハードウェアベースの認証は、「正しい端末」と「正しい接続先」の両方が揃わなければ機能しない。つまり、攻撃者が人をだまして情報を引き出しても、それだけでは突破できない設計になっている。
これは、いわば「本物の玄関にしか合わない鍵」のようなものだ。たとえ偽物の扉が本物そっくりにつくられていても、本物の鍵がそれに合うことはない。フィッシングサイトに誘導されても、ハードウェアセキュリティキーはアクセス先が本物のサイトでないことを検知し、認証を行わないのだ。
この「検証」の仕組みこそが、従来の認証方式との決定的な差である。パスワード認証では、リアルタイムフィッシングのように偽サイトに情報を入力した瞬間に認証情報が盗まれてしまう。SMSのワンタイムパスワードや認証アプリ(TOTP)は一見すると安全性が高いように見えるが、ユーザーと本物のウェブサイトとの真ん中に攻撃者が割り込み認証情報を盗み取るようなAiTM(Adversary in the Middle)攻撃には太刀打ちできない。秘密鍵が端末の外に出ない仕組みによって、認証情報そのものが盗まれにくくなり、偽サイトや中間者攻撃にも強くなる。
では、こうした仕組みを組織に実装して根付かせていくにはどうしたらいいのか。
