パスワードの使い回しとは?
WebサイトやSNS、クラウドサービスなど特定のサービス利用時に入力を求められるパスワードを単一のパスワードで使い続けることです。
複数のパスワード管理が面倒といった理由やパスワードを覚えられずにログインできないといった事態を回避するために、パスワードの使い回しが行われています。
犯罪者の多くはパスワード設定の甘さを突いてアカウント情報のハッキングを行い、入手したアカウント情報を用いてサイバー攻撃や情報盗取を行っています。
生年月日や名前を活用したパスワード、文字数が少ないパスワードは、犯罪者からパスワードを解読されるリスクが高まりますので、止めましょう。
パスワードが流出した場合の3つのリスクとは?
個人情報の流出・悪用、企業の情報資産の流出、サイバー攻撃による業務の停滞が挙げられます。
個人情報の盗取
パスワードのハッキングが行われると、氏名、住所、口座番号、クレジットカード情報などあらゆる個人情報を盗取されます。
犯罪者は他のWebサイトやクラウドサービスでのアクセスを試み、ユーザーのアカウント情報を集めるからです。
個人情報が盗取されると様々なリスクがあります。
例えば、クレジットカード情報やオンラインバンキングの口座情報が盗まれた場合は多額の金銭的被害に遭います。
そして、DDoS攻撃やDRDoS攻撃など多くのPCを乗っ取ってシステムダウンに追い込むサイバー攻撃にPCが悪用される場合もあります。
犯罪者にとって個人情報は多額の金銭的報酬が期待できる取引対象です。
犯罪行為に悪用することもできれば、クレジットカードを不正利用して金銭を得ることも可能です。
また、集めた個人情報をまとめてダークウェブで売却すると多額の金銭的報酬も望めるため、犯罪者にとって個人情報は利用価値の高い対象物だと言えます。
企業の情報資産流出
業務で使用していたクラウドサービスやWebサイトからパスワードがハッキングされると、社内ネットワークに侵入されての情報盗取やシステムダウンを狙ったサイバー攻撃に被害を受けるリスクが上がります。
企業の情報漏洩による被害の多くもパスワード管理の甘さが原因で情報漏洩につながっています。
働き方改革の影響で残業や休日出勤への監視の目が厳しくなり、規定時間内に多くの仕事をこなすことが一層求められるようになりました。
ですが、新しい人材を獲得しない限り、自らが担当する業務量が減ることはありません。
そのため、単一のパスワードの使い回しを禁止し、複数のパスワード設定を社員に要求していたとしても、仕事量が多い場合は利便性の確保を優先してパスワードの使い回しが起きる可能性は十分あります。
ですが、各企業は多発する情報漏洩に敏感になっており、一度でも情報漏洩が起きると取引先や消費者から信用を失います。
周囲からセキュリティ対策や機密情報の保護に関して不安視されるからです。
「取引を続けても大丈夫だろうか?」といった不安が拭えないため、取引量にも影響が出てきます。
今年情報漏洩が起きた事例を挙げると、三菱電機やカプコン、京セラなど様々な企業が情報漏洩の被害に遭っています。
また、サプライチェーン攻撃に代表されるように大企業だけでなく、近年は中小企業もターゲット対象になることが増えています。
セキュリティツールの導入や人員配置によって年々セキュリティ対策を強化する大企業をいきなり攻撃するよりも、中小企業を経由して社内ネットワークに侵入した方が遥かに情報盗取に成功する確率が高いと考えているからです。
また、自社のセキュリティ対策に不備があり、顧客情報の流出や取引先のシステムに侵入を許した場合は、取引量減少・取引停止などの対応を迫られます。
場合によっては多額の賠償金を求められる場合もあり、今後のビジネスが大変苦しくなります。
情報漏洩やセキュリティ分野に関しての教育の徹底、自社のセキュリティ環境の見直しなどを継続して行う必要があります。
情報漏洩が起きた場合の企業への影響
| 想定される影響 | 結果 | |
| 内容 |
|
|
サイバー攻撃による業務停滞
サイバー攻撃によって受ける被害は情報盗取だけではありません。
システムの稼働停止やPCが操作不能な状態に追い込まれる場合があります。
システムダウンが起きると業務の停滞につながり、ビジネス機会の損失や取引先への影響、社員の業務負担増大などに影響します。
一方、操作不能となったPCは犯罪者に遠隔操作され、サイバー攻撃や犯罪行為に悪用されるリスクが高まります。
パスワードのハッキングによって懸念されるサイバー攻撃はパスワードリスト型攻撃、ブルートフォース攻撃、DDoS攻撃などが挙げられます。
パスワードリスト型攻撃
アカウント情報をハッキングし、複数のWebサイトやクラウドサービスへの不正ログインを試みる攻撃です。
主に情報資産や個人情報の盗取を狙う攻撃に利用され、発生頻度の多いサイバー攻撃です。
2020年においては九州旅客鉄道、任天堂、エムアイカードなどが被害を受けています。
ブルートフォース攻撃
パスワードを解読するために推測できる文字列を全て試していく攻撃です。
PCがデータ処理を行うため、解読しやすいパスワードを設定していた場合は簡単に見破られます。
対策としては文字数が長く、アルファベットや記号、数字を織り交ぜた規則性を感じさせない複雑なパスワードを設定することです。
DDoS攻撃
複数のPCを活用してターゲット対象のWebサイトやサーバーに多大な負荷をかけることです。
アカウント情報が流出したPCは犯罪者から乗っ取られ、操作不能な状態に陥ります。
不特定多数のPCから攻撃を行うため発信源を掴みにくいのと通常のアクセスと見分けがつかない点が特徴で、企業にとっては非常に厄介な攻撃です。
過去にはソニー、Amazon、Netflixなどが被害を受けています。
パスワード流出への対策とは?
多要素認証の活用
多要素認証により特定のサービスの利用時にID/パスワード入力だけでなく、生体認証やワンタイムパスワードの入力を求めるよう設定することです。
顔認証や指紋認証といったコピーや偽造が難しい個人情報の活用やその場限りでのパスワード入力を求めることで、精度の高い本人認証を実現します。
IDaaSの導入
IDaaS(Identity as a Service)は、クラウド上でID認証を行うセキュリティツールです。
ID管理だけでなく、シングルサインオンや多要素認証、アクセス管理など安全性と利便性を兼備した多様な機能を搭載しています。
専用のUSBやカードキーを用いた認証やアプリを活用した生体認証など、パスワードレスを強化しているベンダーも増えてきており、不正アクセスやサイバー攻撃に遭うリスクを軽減できます。
| 機能内容 | 期待される効果 | |
| ID連携・管理 |
|
|
| 多要素認証 |
|
|
| アクセス制限 |
|
|
| シングルサインオン |
|
|
| ログ・レポート |
|
|
パスワードマネージャーの活用
パスワードマネージャーは、複数のクラウドサービスやアプリで使用するためのパスワードを管理するためのセキュリティツールです。
パスワードマネージャーを確認すれば、個々のサービスごとに管理されたID/パスワードをすぐに確認できるので、メモ帳やデバイス機器内での個別管理を行う必要はありません。
また、犯罪者から解読されにくいパスワードを自動生成する機能やアカウント情報の監視を行う機能も搭載しているので、情報漏洩のリスク軽減と流出した場合の被害を最小限に抑えることが可能です。
IDaaSが企業向けのセキュリティツールであるのに対し、パスワードマネージャーは個人向けのツールです。
普段の生活でインターネットバンキングやオンラインショッピングの利用頻度が高い方に、検討価値のあるセキュリティツールだと言えます。
おすすめのIDaaS&パスワードマネージャーの紹介
IDaaSとパスワードマネージャーのおすすめのセキュリティツールを紹介します。
IDaaS
CloudGate UNO
インターナショナルシステムリサーチ社が提供しているIDaaSで、ユーザーから高い支持を集めています。
7年連続でシステム稼働率は99.9%以上を誇り、エステーやマイナビ、クボタなど様々な業界の企業が導入をしており、採用実績数は1,600社に上ります。
CloudGate UNOの特徴は安全性と利便性を兼ね備えた機能を多数搭載していることです。
シングルサインオンはGsuite、Dropbox、Salesforceなど多数のサービスと連携しております。
また、認証機能においてはパスワードレスでの認証を可能にするFIDO2認証機能を搭載しており、専用のUSBであるYubiKeyや顔認証機能であるWindows Helloを活用して、スピーディーで安全性の高い認証を実現します。
他にも特化した認証機能や複数のアクセス管理を搭載するなど、多彩な認証機能を活用して安全性の高いセキュリティ対策を行えます。
TrustLogin
TrustLoginはGMOグループが提供するIDaaSで、コストパフォーマンスに優れている点が特徴です。
有料プランと無料プランに分かれており、従業員規模が30人以下の企業は自動的に無料プランの選択になりますが、無料プランでもシングルサインオンは利用可能です。
また、ワンタイムパスワードやIPアドレス制限、ADとの連携などの機能は100円/1ユーザーからオプションとして追加できるため、本当に必要な機能だけを利用できます。
無駄なコストを極力減らせるだけでなく、サービスを利用しながら必要な機能を低コストで追加可能です。
そして、有料プランも30名以上のユーザー申し込みを行えば、300円/1ユーザーで全ての機能を活用できます。
現在、生体認証を活用したFIDO認証の開発を進めており、今後の利便性向上がさらに期待できます。
Auth0
Auth0社が提供する世界的にも評価が高いIDaaSで、75,000社を超える企業が導入をしています。
Auth0の特徴はカスタマイズ性の高さとセキュリティ分野のノウハウが浅い企業でも利用可能なサービスである点です。
ルール機能を活用することで、セキュリティ保護がされていないIPアドレスからのアクセスのブロックを行う異常検出機能やユーザー属性の追加処理を管理画面でクリック操作のみで行えます。
また、JavaScriptまたはC#の活用で企業独自のカスタマイズやデータ連携を実現することも可能です。
そして、知識向上を目指す方や開発者を対象にしたAuth0の機能や事例紹介、認証コンセプトなどを紹介した動画をYouTube上で公開しています。
わからない点があったとしても動画を観ながら疑問点の確認と更なる知識向上ができます。
パスワードマネージャー
トレンドマイクロ
トレンドマイクロ社が提供するパスワードマネージャーは、安全性の高さが魅力です。
保管された情報は最高レベルの安全性を誇る暗号技術AES256(Advanced Encryption Standard)bitによって保護されます。
また、メールアドレスやクレジットカード情報、オンラインバンキングの口座情報など、重要な個人情報が流出していないか常に監視を行うダークウェブモニタリング 機能によって個人情報を保護します。
仮に個人情報がダークウェブ流出した場合はアラート通知と対応策をユーザーに提示することで、被害の影響を最小限に抑えます。
ノートン
操作性に優れた使いやすさが評判のパスワードマネージャーです。
犯罪者が解読しにくいパスワードを自動作成し、保存された情報は全て暗号化された状態で保管されます。
使用しているパスワードが安全性に欠けていた場合はユーザーにアラートを送り、ワンクリックで新たなパスワードを作成可能です。
また、スマートフォンやPC、タブレット端末などマルチデバイス対応機能を搭載しており、保存されたログイン情報を他の機器にも展開します。
安全性を強化する場合はワンタイムパスワードや生体認証を課することで、不正アクセスのリスク軽減を軽減します。
