パスワードは機能しない:多要素認証が不可欠

8月 28, 2019 セキュリティとコンプライアンス, MOVEit

データを保護するためには、パスワードに頼ることはできず、 MFA (Multi-Factor Authentication) 、多要素認証が必要になります。

Microsoft のアイデンティティ・セキュリティと保護グループのプログラムマネージャーである Alex Weinert 氏は、Azure Active Directory 接続アカウントを長期にわたって管理してきた経験から得た深い洞察が込められた包括的なブログを投稿しました。 全体を統括する簡単なステートメントは、”Your Password Doesn’t Matter(パスワードは関係ない)” です。

Your Password Doesn’t Matter

詳細を知りたい方は実際にこのブログを読んでみてください(興味深い内容です)。Microsoft はセキュリティ保護のために様々な統計調査を行っています。Microsoft のクラウドサービスには毎日3億の不正なサインインが試みられており、Microsoft ID システムには膨大なデータが蓄積されます。攻撃の種類別に分析した結果、多くの場合、パスワードの長さと複雑さは、パスワードの「クラック可能性」に影響しないことが示されました。

ランダムで長いパスワードを生成するパスワードマネージャーを使用しても、大きな違いはありません。使いやすさや単一の価値の高いターゲットの作成など、他の懸念も生じます。ハッカーは5億もの一般的なパスワードのリストを持っていて継続的にテストしています。使用しているパスワードが毎日3億件発生する攻撃で試されるパスワードに合致しない保証はありません。さらに、フィッシング、キーストロークロギング、ローカル検出、などといった方法でターゲットにされると、パスワードは簡単にハッカーの手に渡ります。以上のような考察によって、パスワードは関係ない、という結論が導き出されます。

重要なのは MFA

Microsoft では、SMS ベースのワンタイムパスワードのような単純なものであっても、高度な生体認証ソリューションのようなものであっても、利用できる多要素認証を使うことを推奨しています。

「MFA を使用すると、アカウントが侵害される可能性が 99.9% 以上低くなる、という調査結果が出ています。」と Alex Weinert 氏は述べています。「多要素認証ソリューションを有効にすると、ハッカーがユーザーの現在のパスワードのコピーを持っている場合でも、不正なログイン試行の 99.9% がブロックできます。」もちろん、残りの0.1% にも注意が必要です。これは、MFAトークンをキャプチャするための技術的なソリューションを使用する、より高度な攻撃が行われ得ることを意味します。ただ、そういった攻撃は、資格情報をかき集めるようなボットネットの日常的な攻撃と比較すると、かなり稀だと思われます。

もし、Microsoft の言葉をうのみにするのに抵抗があるなら、Google の意見を聞くのはどうでしょうか。5月のセキュリティ・ブログで、Google は、このテーマに関する独自の調査についてまとめ、「Google アカウントに予備の電話番号を追加するだけで、自動ボット攻撃は最大で100%ブロックでき、バルクフィッシング攻撃の99%とターゲット攻撃の66%が阻止できます。」と述べています。これも読む価値のあるブログです。Google は Google アカウントを介してすべてをオンラインで統一しようとしているので、セキュリティへの関心が高くなっています。

いずれにしても、MFA を有効にして、機密性の高いデータを安全に保ち、規制コンプライアンスを徹底することは有意義です。プログレスの MOVEit Transfer は、MFA 機能を備えており、ユーザーアクセスを安全にコントロールできます。ユーザークラスベースのパスワード有効期限ポリシーが適用でき、シングルサインオンも可能です。MOVEit Transfer はセキュアなフォルダ共有もサポートしており、完全な監査証跡を維持しながら、内外部のユーザーが安全かつ簡単に共同作業できます。

MOVEit の詳細ページをご参照ください。

Mark Towler