ID+パスワードの脆弱性を補完するために
お役立ち
現在も広く使われているIDとパスワードによるユーザー認証。しかし、この認証手段は完全ではありません。ここではID+パスワードの脆弱性を解説した上で、OneLoginの端末証明書による認証と、端末証明書を活用したセキュリティ強化手段について解説します。
意外と簡単に漏洩するユーザーIDとパスワード
システムへのアクセスは、一般的にユーザーIDとパスワードで行われます。しかし、この認証組み合わせは、多くの人が考えているよりも脆弱です。一度これらが漏洩し、悪意を持った第三者の手に渡れば、不正アクセスやセキュリティ侵害が可能になってしまいます。IDとパスワードは、マルウェア感染はもちろんのこと、ユーザーの不注意や人為的ミスでも、簡単に漏洩するものです。
例えば機密情報にアクセスできる従業員が、IDとパスワードを手帳などに書き写していたら、どのようなことが起こり得るのかを想像してみましょう。もしこのページを誰かに覗き見られたら、パスワードが漏洩する可能性があることは、すぐに理解できるはずです。この紙を不用意に捨ててしまった場合には、漏洩の危険性はさらに高まります。
最近では特定組織を執拗に狙う「標的型攻撃」が増えていますが、その手法の中にはターゲットとなる組織から出てきたゴミを漁り、そこから得られた情報で関連情報を推測するという、スパイのような行為も含まれているからです。このように情報通信技術を使用せず、パスワード等の情報をローテクな方法で取得する手法を、ソーシャルエンジニアリングと呼びます。
従業員が私物端末を使用することで、IDやパスワードが漏洩することもあります。多くの私物端末は、組織の管理下に置かれた端末ほど高いセキュリティ管理が行われていないため、マルウェアに感染する危険性が高まるからです。またこのような端末は、社外に持ち出して使うことが多くなるため、端末の紛失によって情報が漏洩する可能性もあります。
外出先からログインを行うことで、IDとパスワードが盗まれることもあります。例えば公衆Wi-Fiを利用した場合、十分なセキュリティが確保されていないアクセスポイントでは、通信が盗聴される危険性があります。また公衆Wi-Fiと同一のSSIDとパスワードを設定した「なりすましアクセスポイント」が置かれていた場合には、中間者攻撃によって、通信内容を全て傍受される可能性もあります。ここで業務システムにログインすれば、IDとパスワードが犯罪者の手に渡ってしまいます。
PKIの仕組みで端末認証を可能にする端末証明書
「IDとパスワードの組み合わせ」の根本的な問題は、いったん漏洩してしまえば、誰でもそのユーザーになりすませる点にあります。この問題を解決するには、どうすればいいのでしょうか。解決策は複数存在しますが、そのうちの1つが、端末証明書(クライアント証明書)による使用端末の認証です。
端末証明書は、PKI(Public Key Infrastructure:公開鍵基盤)を利用したデジタル証明書の1種です。PKIとは公開鍵暗号を使用し、通信の暗号化や本人確認を行う仕組みです。公開鍵暗号では、暗号化と復号で対となる2つの鍵を使用します。1つは公開鍵、もう1つは秘密鍵です。一方の鍵で暗号化したものは、もう一方の鍵で復号可能です。例えば秘密鍵で暗号化を行った文書は、公開鍵で復号できます。逆に言えば、ある公開鍵で復号可能な文書が送られてきた場合、その送り主は「その公開鍵と対になる秘密鍵」を保有していることが証明できます。これによって本人確認を行うことが可能になるのです。
端末証明書による端末認証を行う場合には、端末証明書や秘密鍵等で構成されるファイルを認証対象となる端末にインストールし、Webブラウザー等にインポートしておきます。秘密鍵と対になる公開鍵は、証明書の中に格納されています。
これでログインを行うときには、端末からシステムに、端末証明書、端末が保有する秘密鍵で暗号化されたメッセージ、このメッセージのダイジェスト(文字列から生成された固定長の擬似乱数)が送られます。システムは、送られてきた証明書の正当性を確認した上で、端末証明書から公開鍵を取り出します。さらに端末から送られてきた暗号化メッセージをこの公開鍵で復号し、メッセージダイジェストを生成します。このダイジェストと、端末から送られてきたダイジェストが一致すれば、この端末が端末証明書に対応した秘密鍵を保有する、正当な端末であることが確認できます。
証明書のない端末からはログインできないため安全性が向上
このような認証を行うことで、端末証明書がインストールされていない端末からは、ログインできなくなり、セキュリティが向上します。つまりIDやパスワードが漏洩した場合でも、不正ログインを防ぐことが可能になるのです。端末を紛失した場合でも、証明書を失効させることで、不正ログインを防止できます。
なお「OneLogin」は、多様なクラウドサービスやWebアプリケーションに対するシングルサインオンを実現するサービスですが、Webブラウザにインストールして使うユーザー証明書を使用した認証強化にも対応しています。OneLoginへのログインにユーザー証明書を活用し、シングルサインオンによって他のサービスへのパスワード入力が不要になれば、ユーザーの利便性とセキュリティを同時に高めることが可能になるのです。
