今や情報漏えい対策は、企業のIT部門だけではなく企業全体で取り組むべき重要な経営課題である。ひとたび漏えい事件を起こしてしまうと、事業の継続に影響するからだ。実際、2015年3月下旬に都内で開催されたITmedia エグゼクティブ勉強会には、年度末の平日夜にも関わらず、情報漏えい対策に関心を持つ、多くの大手企業情報システム部門の管理職などの経営幹部たちが集まった。
まず登壇したのはラックの取締役CTO西本逸郎氏。情報セキュリティ分野における国内の第一人者であり、2014年に大きな話題となった個人情報流出事件では調査委員会の構成メンバーも務めた人物だ。今回の勉強会では「大規模な顧客情報流出事件の教訓」と題し、最近のサイバー事件の傾向と対策について講演した。
西本氏が最近のサイバー事件の傾向として挙げたのが、標的型攻撃の増加だ。従来は、最終目標の組織内に侵入後、長期間潜伏して情報を得る手法が主流だったが、現在は"短期指令遂行型"が急増しているという。
「"サイバースパイ"は、まず対象の組織ごとにプロファイリングをしたり、メールや業務ファイル、関係者の人間関係を分析したりしています。その上で標的とした組織の情報を引き出し、短い時間で情報を奪っているようです」(西本氏)
このような攻撃が増える中、特に注意すべきなのがID・パスワードなどのアカウント情報だ。以前から不正アクセスの手段としてアカウント情報が狙われてきたが、最近は既に漏えいしてしまった別のシステムのアカウント情報をもとに自社のシステムにログインされてしまい、情報が奪われるというケースが増えている。パスワードの使い回しをするユーザーを狙った、 いわゆるリスト型攻撃である。
「システム管理者は、簡単に類推されることを防ぐため、従業員に複雑なパスワードの設定と管理を求めることになります。すると従業員は、せっかく覚えた複雑なパスワードを、他でも使い回したくなります。このようにして、どこかで漏えいしたパスワードで不正ログインされるケースが生まれているようです」(西本氏)
こうした情報漏えいのリスクは、外部からの不正アクセスだけではない。内部不正のリスクも顕在化している。
従来、企業の機密情報や個人情報にアクセスできるのは、基本的に自社の従業員のみであった。しかし、ITシステムの高度化が進むと同時に、そのコスト削減も求められるようになるにつれ、その運用を外部パートナー企業や契約社員にも委託するようになり、自社の従業員以外も重要な情報にアクセスできるようになった。
西本氏は「彼らにはシステム上のあらゆる権限が集中しています。 このような時代の変化が、内部不正の要因になっているのです 」と指摘する。
ID・パスワードやカードといった従来型の認証方法では、本人認証において、「不正利用」や「なりすまし」のリスクが残る。また、パスワードの複雑化や認証要素を増やすことは、ユーザーの負担、ひいては情シス部門の負担を増大させることにつながる。――こういった企業が抱える認証セキュリティのリスクや課題をどのように解決すればよいのだろうか?
来場者に対して課題を提起した西本氏に続き登場したのは、富士通の若林晃氏。同氏は富士通が取り組む生体認証技術「手のひら静脈認証」のエバンジェリスト的存在だ。
今のところ主な認証方式としては、ID・パスワードのように「記憶」に頼るもの、IDカードのように「持ち物」に頼るもの、そして人の身体的特徴を利用する「生体認証」の3つがある。この中では生体認証が優れていると、若林氏は紹介する。
若林氏によると、まず、ID・パスワードによる認証の問題点は安全性に欠けることだという。複雑なパスワードを付与すると従業員自身がパスワードを覚えきれずに付せんにメモ書きしたり、他のシステムにパスワードを使い回したりするケースが発生してしまう。
だからといってパスワードを何かに記録することを禁止すると、パスワードを覚えきれず、IT部門のヘルプデスクの負担が増加する。また、IDカードによる認証は、その導入コスト、さらに紛失などによる再発行などのランニングコストといったコストの課題がある。
また、利便性の観点からも、パスワードであれば複数記憶し、入力しなければならない手間や、カードを常に携行しなければならない、というデメリットもある。
「こうした従来型の認証方式に対して、ヒトの身体的特徴を利用する手のひら静脈認証であれば、手をかざすだけでいいといったユーザーの利便性を向上させるだけでなく、パスワードやカード認証によって発生していた運用負荷やコストを低減できます。また生体認証による確実な本人特定が実現するため、内部不正に対する大きな抑止力となります。ちなみに、静脈のパターンは経年変化せず、また体内情報のため盗みとられることもありません。これが、手のひら静脈認証の特長です」(若林氏)
一般的には専用のセンサーなどのハードウェアが必要なためコストがかかると思われがちな生体認証だが、実はコスト削減にもつながる――と主張する若林氏だが、その論拠はどこにあるのだろうか?
「確かに初期の導入コストとしては、手のひら静脈認証のセンサーを調達する費用がかかります。しかし富士通では、IDカードの紛失、初期化、再発行などに1人あたり年間約1万円かかると試算しているのに対し、手のひら静脈認証ならゼロ円です。ランニングコストを含めたシステム運用全体のコスト(TCO)で考えれば、コスト的にもメリットがあります」(若林氏)
また生体認証の中では抜きんでた認証精度が、手のひら静脈認証の優位点だと若林氏は話す。
「手のひら静脈は血管そのものも太く、複雑に交差しているため認証精度が極めて高い、という特長があります。また、寒さや乾燥といった外部環境の影響も受けないのも大きなメリットです」(若林氏)
こうした特長を持った手のひら静脈認証は、全国約1800の自治体で活用される住民基本台帳ネットワーク(住基ネット)の端末操作者の本人確認に採用されているほか、銀行の渉外職員が顧客訪問先から社内システムの顧客情報にアクセスできるように、セキュリティとモビリティを両立させた手のひら静脈センサー内蔵型タブレットを導入した事例もある。
なお、先に講演したラックの西本氏も、生体認証を高く評価しているという。
「安全性を担保しながら利便性を確保するという意味で、生体認証は非常に有効です。また、将来的に普及が期待されるウェアラブルデバイスなどのセキュリティにもこうした生体認証技術の持つメリットが生かされると考えています」(西本氏)
なお当日会場には、手のひら静脈認証の体験コーナーが設けられた。実際の参加者の声をいくつかお届けしよう。
まず、多くの参加者が「初めて体験してみたが、実際に自分でやってみると予想外に早く簡単に認証できて驚いた」、「とにかく認証速度が速い」、「センサーに触れずに認証できることの便利さを実感した」、「手をかざすだけで認証できる。この簡単さは実際に試してみないと分からない」といった好意的な反応を示しており、企業のエグゼクティブたちはコスト削減や安全面での有効性に加え、手のひら静脈認証の利便性に感心していた。
また、ある大手調剤薬局チェーンのシステム部長は、手のひら静脈認証のレスポンスの早さと、非接触で認証できることによる衛生面に注目したという。
大手化学メーカー系情報システム会社のマネジャーは「当社では現在、モバイルデバイスを利用するときだけ生体認証を使っています。PCやアプリケーションへのログインはID・パスワード認証ですが、手のひら静脈認証に統合すれば、管理が楽になると考えています」と話し、手のひら静脈認証がID・パスワード管理の工数を簡素化できる可能性に言及した。
その他に、光学機器メーカー開発センターのマネジャーは「今では、複合機にセキュアな認証機能を組み込むことは必須要件になっています。そのソリューションのひとつとして、手のひらをかざすだけの静脈認証の利便性に注目しています」と、複合機への組み込み用途といった従来利用されていない領域での手のひら静脈認証への期待を寄せていた。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:富士通株式会社
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2015年5月21日