大手企業のエグゼクティブが議論――「生体認証」が従業員の生産性向上の切り札に？：利便性が高く運用もラク

企業価値に損害をもたらしかねない「情報漏えいリスク」に、企業はどのような手を打つべきなのか。大手企業の業務部門や監査部門の責任者を務める3人のエグゼクティブをお招きし、企業ITとセキュリティの動向について語り合ってもらった。進行役は調査会社アイ・ティ・アールのシニアアナリスト、舘野真人氏。

[PR／ITmedia]

PR

座談会参加者

金子明人氏（不動産会社 事業部門 顧問）

相沢茂氏（金融機関 マーケティング部門 部長）

渡瀬裕之氏（メーカー企業 監査室 室長）

（順不同、全て仮名）

舘野真人氏 株式会社アイ・ティ・アール シニアアナリスト

企業価値を損ねかねない情報漏えいリスクとは？

　昨年、ある企業で内部犯行による大規模な情報漏えい事故が起こり、世間を大きく騒がせた。参加者は一様に、内部犯行防止の取り組みは極めて重要であると口をそろえるが、具体的にどのような取り組みが有効なのだろうか？

　セキュリティ対策というと一般的に、システムの脆弱性を突くなどした外部攻撃を防ぐイメージが強いが、内部犯行や「なりすまし」による情報漏えいを防ぐためには、根本的に異なる発想と対策が必要になるようだ。

金子氏（不動産）　セキュリティ対策には、外部からの攻撃に対する備えと、内部犯行に対する備えがあります。前者に関して言えば、たとえどれだけお金を掛けて対策を講じたとしても、やはり犯罪集団による侵入を許してしまう可能性は残っています。自社でできることには限界があります。

舘野氏　確かに、外部からの攻撃を100％完全に防ぐことは無理ですから、ある一定レベル以上の対策をきちんと施していれば、たとえ被害に遭ってしまったとしても、ある程度は免責の余地があってもいいのかもしれません。

金子氏（不動産）　一方で、内部犯行は何としても防がないと、情報漏えいによる直接の被害以上に、自社のガバナンス不全が露呈されます。結果として企業価値を大きく損ねてしまいます。

相沢氏（金融）　内部犯行を防ぐための第一歩は、まずはデータに対するアクセス制御を適切に設定することでしょう。当社でも、個々のユーザーに対するデータのアクセス権限の割り振りを、きめ細かく行っています。その上で、データに対するアクセス状況を定常的に監視して、不適切なアクセスがないかはもちろん、使われていない権限は取り消すなど、定期的に棚卸しをしています。

渡瀬氏（メーカー）　私は海外法人の監査も担当していますが、正直なところ日本とは、セキュリティや情報漏えいに対する意識に差があるため、必ずしも情報が適切に扱われるとは限りません。ですからグローバルでルールを統一しようと考えています。また従業員に対して、標的型メール攻撃に対するトレーニングを行っていますが、やはり引っかかる人がいます（笑）。しかし、毎日多くの業務メールを処理している彼らに責任を負わせるのは酷ですよね。善意の従業員が、不注意やちょっとしたミスで情報漏えいを起こすことのないよう、システムを整備して守ってあげなければいけません。

ID・パスワード方式はもう限界

舘野氏　なりすましではなく、本人がアクセスしているのかどうかを担保するためには、確実なユーザー認証が必要です。現在はいまだID・パスワードによる認証が一般的ですが、複数の認証技術も組み合わせた多要素認証が普及してきました。

金子氏（不動産）　とはいえIDとパスワードの管理は、従業員にとっては煩雑極まりない。利用するシステムごとに異なるパスワードを覚えて、それを定期的に変更するなんて、どう考えても無理があります。結果として、紙に書きとめておいたパスワードが流出するなどしたら、それこそ本末転倒です。実際のところは、管理する側の気休めに過ぎないと思います。

舘野氏　Webサービスの増加に伴って、個人として覚えなければならないIDの数が増えているのも問題ですね。ちなみに私は、複数のパスワードを一括管理できるツールを使っているのですが、そうすると今度はツール自体のマスターパスワードを守らなければならない。結局、20桁以上のパスワードを設定する羽目になっています（笑）。

相沢氏（金融）　そんなのとても覚えられない（笑）。

渡瀬氏（メーカー）　そのマスターパスワードが流出してしまったら、元も子もないですね。

パスワード管理の課題は「生体認証」が解決

　このように、運用上の限界が指摘されるID・パスワード方式だが、他に有効な認証の手段はあるのだろうか？　

　参加者の企業でも、ID・パスワードに他の認証要素を加えた二要素認証を取り入れているところが多いという。今後、大いに期待する認証技術の1つとして挙がったのが「生体認証」だった。

金子氏（不動産）　私は、最終的には生体認証に行き着くと考えています。ID・パスワードと違って漏えいのリスクがありませんから、本人であることを確実に認証できます。

相沢氏（金融）　当社では既に、重要情報を取り扱う社員の認証には、生体認証を取り入れています。金融業界ではATMを含め、生体認証の導入は比較的早かったですね。

金子氏（不動産）　後は、導入コストが問題でしょうね。現時点ではまだ決して安いとは言えないのですが、技術動向を常にウォッチしつつ、ある一定の価格帯まで下がったらすぐに導入できる準備は整えておくべきでしょう。

相沢氏（金融）　ただコストに関しても、費用対効果を広い意味で捉えれば、現在でも十分に導入メリットがあると考えています。例えば、生体認証を導入すればユーザーがID・パスワードを管理する必要がなくなりますから、パスワードを忘れてロックされてしまった、といったヘルプデスク対応はなくせます。こうした対応の工数は無視できませんから、コストをかなり削減できます。実際私は、いくつかのIT活用プロジェクトで、このような考え方をもとに費用対効果を算出し、経営陣の承認を得ました。

渡瀬氏（メーカー）　例えば、入退室管理システムの認証にも適用すれば、物理セキュリティもカバーできますね。

「手のひら静脈認証」を体験して

　実際のところ、生体認証技術の進化には目覚ましいものがある。従来からある指紋や静脈認証に加え、顔形、声紋など、さまざまな方式が次々と実用化されている。

　今回、座談会の場で手のひら静脈認証を体験し、その認証スピードに驚く参加者。「ID・パスワードのトラブルにヘルプデスクが対応している運用コストを削減できる」「パスワード管理から解放されることは、新入社員から役員まで全従業員の業務効率化につながる」といった、エグゼクティブらしい声が上がった。

渡瀬氏（メーカー）　静脈は同じモノがないため、偽造の可能性が限りなくゼロであるという点が興味深いですね。

相沢氏（金融）　当社では、システムごとにパスワードの変更サイクルが異なっており混乱の要因となっていますが、一元管理できれば問題を解消できます。

舘野氏　単に端末にログインするだけでなく、システムの認証基盤とも連携できますから、真にセキュアなシングルサインオン（SSO）基盤にもなり得ます。そういう意味でも、手のひら静脈認証は将来性の普及が期待される技術ではないでしょうか。