ユーザー名とパスワードが事実上の認証手段になっている組織は多く存在するようですが、それだけではセキュリティコントロール上、かなり弱いと言わざるを得ません。高度なセキュリティのためには多要素認証 (Multi-Factor Authentication、MFA) を暗号化と組み合わせる必要があります。
暗号化は、iPhone やメッセージング、ファイル転送ツールでは標準機能になっており、現在ではあらゆるところで使われています。暗号化はサイバーセキュリティに欠かせない部分であり、転送中も保存中も機密データを暗号化で保護するのが最善策です。一方、脆弱性が心配される問題として、不適切な認証方法があります。ここで言う不適切な認証方法とは、ユーザー名とパスワードによる認証です。
ユーザー名とパスワード: 認証要素としては不適切
ユーザー名とパスワードは、住所、電話番号、運転免許証などと同様、アイデンティティの一部ですが、残念ながら、電話番号や住所と同じくらい簡単に入手できます (複数のアカウントで使用されている場合は、特に)。
毎年、何百万というユーザー名とパスワードの組み合わせが盗まれています。パスワードに問題があるのはよく知られていますが、想像できる限り最も複雑なパスワードだと思っても、コンピュータで解読されてしまう可能性があります。パスワードは、一度でも漏洩したら、簡単に販売したり交換したりできてしまいますが、そういったことは実際、頻繁に起こっています。大量のパスワードデータを所有する大規模な組織は、非常に重い責任を有することになります。にもかかわらず、多くの組織で、重要なビジネスアプリや機密データベースにパスワードが繰り返し再利用されています。
また、従業員の5人に1人が、会社のコンピューターネットワークにアクセスするために使うパスワードを買いたいと言われたら売ってもいいと答えたという調査結果もあります。その値段が100ドル以下でも売ると答えた人さえいたようです。
データへのアクセスをコントロールして保護するのに使用される認証手段が安全性を保証すると考えられますが、その認証要素がユーザー名とパスワードの場合は、非常に脆弱であるということになります。ユーザー名とパスワードという、広く普及している認証手段に欠陥があるとしたら、いったいどうすればいいでしょうか?
一般的に、最善の策は、認証を多要素認証 (MFA) にステップアップすることです。
多要素認証とは何か?
多要素認証 (Multi-Factor Authentication)、MFA は、認証プロセスにユーザー名とパスワード以外の要素を追加する、認証とアクセスコントロールの手法です。通常、ユーザー名とパスワードの組み合わせなどの「ユーザーが知っているもの」と、通知して確認するための電話やワンタイムパスワードトークンなどの「ユーザーが持っているもの」とを組み合わせることによって実現されます。多要素と称されるのは第3の要素を使うこともあるためで、電子メール、指紋や顔のスキャンなどの生体認証要因なども含まれ得ます。
指紋を使用してスマートフォンのロックを解除したり、オンラインで資金を送金する前に銀行から身元を確認するためのテキストを受け取ったりするなど、多くの人は何らかの形でこういった経験があると思います。
MFA と暗号化: 最適の組み合わせ
コンプライアンス基準を満たすことが一般的な要件となってきて、MFA はかなり普及しています。
MFA がそれほど優れているのなら、ハッカーはアクセスできないのだから暗号化でデータを保護する必要があるのかという疑問が湧くかもしれません。その答えは、イエスです。多要素認証を使用するだけでデータの暗号化を行わないでいることは、例えるなら、車をロックしておきながら、貴重品を外から見えるところに置いておくようなものです。何らかの方法で侵入されてしまった場合、簡単に盗まれてしまいます。逆に、データを暗号化しても認証には単純なユーザー名とパスワードの組み合わせを使用するということは、貴重品は外から見えないようグローブボックスに隠しても車にロックをかけないままにしておくようなものと考えることができます。グローブボックスの貴重品には気付かないでほしいと願っても、空しい希望に過ぎないかもしれません。
正確性に欠ける比喩ですが、ポイントは、一つの対策だけではなく、二重に対策しておくことでセキュリティを強化することが重要だということです。ベストプラクティスは、転送中および保存中の機密ファイルを暗号化する技術を活用するとともに、MFA ツールと統合して、重要な機密データを盗まれないように厳重なアクセスコントロールを実施することです。
プログレスの安全なマネージドファイル転送ソリューション、MOVEit Transfer は、まさにそのようなことを実現するソリューションです。ユーザーアクセスを安全にコントロールできる MFA 機能、転送中と保管中の高度な暗号化機能があり、さらにユーザークラスベースのパスワード有効期限ポリシーやシングルサインオンもあり、内部ユーザーも外部ユーザーも、完全な監査証跡を維持しながら、安全かつ簡単に共同作業を行うことができる 安全なフォルダ共有もサポートしています。
2022 年春の G2 Grid レポートによると、MOVEit のアクセスコントロールはユーザーの 92%、暗号化はユーザーの 95% (平均は 91%) が評価しています。MOVEit Transfer は、無料で試用できます。PPAP 問題を解決するための最適なソリューションでもあります。ここをクリックして、無料試用版をお試しください。
Jeff Edwards
Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.