「ID・パスワードの不正ログイン」といえば、昨年(2019年)大きな話題となった、バーコード決済サービス「7pay(セブンペイ)」のアカウントに対する不正アクセス問題(株式会社セブン&アイ・ホールディングス)が記憶に新しいところです。不正による被害は約900人、損害額5,500万円と試算されておりサービスが廃止に追い込まれました。当時は、セキュリティインシデントに対する対応の遅さや縦割り組織についても指摘されていました。
目次
7pay問題を振り返る
この不正アクセス問題には大きく2つの問題点があるといわれています。
1つ目は、ログインの認証方式に関する問題点です。近年では、ID・パスワードによる認証のみならず、SMSやメールを紐付けたワンタイムパスワードによる「2段階認証」が一般的な認証方法になっています。7payでは、この「2段階認証」機能が搭載されていなかったため、ID・パスワードを第三者に知られてしまうと簡単にログインができる状態でした。
2つ目は、ユーザがパスワードを忘れた場合に利用する「パスワードリセット(再設定)」の問題点です。パスワードリセットをする場合、登録時のID(メールアドレス)を入力するが一般的ですが、「7pay」ではユーザの利便性を考慮したのか別のメールアドレスにも送ることができる状態でした。(パスワードリセットには、本人を特定できる生年月日・電話番号の入力が必須)
独立行政法人情報処理推進機構(略称IPA。以下、IPA)によると、SNSやECサイト、クラウドサービスといったインターネットサービスの不正ログイン被害に関する相談が数多く寄せられているようです。IPAによれば、これらのサービスの多くは、ID、パスワードによる本人認証を行っており、認証情報が第三者に知られると、本人になりすまして不正にアカウントにログインされてしまう恐れがあるそうです。
それでは、今回のようなケースでは、企業としてどのような対策をとるべきであったのかを調べてみました。
実態を調査してみた
クラウドサービスの利用率はどのくらい?
総務省が発表した『平成30年版 情報通信白書』によると企業のクラウドサービス利用率は56.9%の半数以上あり、多様化する働き方に対応し、今後もクラウドサービスに依存する傾向は増加する見込みです。
ID・パスワードの管理方法は?
IDとパスワードについてどのような管理をしているのでしょうか?
警察庁生活安全局情報技術犯罪対策課が発表した『不正アクセス行為対策等の実態調査 調査報告書(2016年11月)』によると、ID・パスワードの管理方法については、「パスワード長を一定以上に定める」が65.5%で最も多く、続いて「異動等で使用しなくなったIDはすぐに削除する」が57.8%、「IDを複数ユーザーで使わせない」が51.1%で割合が多い回答でした。クラウドサービスにおいてログイン認証は重要という認識は当然の結果だと思います。
不正ログイン対策はしているか?
それでは、不正ログインの対策はどのようにされているのでしょうか?
同報告書での回答では「特に行っていない」が49.8%と最も多く、約過半数が特別な対策を講じていないことが分かりました。
パスワードを強固なものに設定しておけば不正ログインには至らない可能性はありますが、クラウドサービスの普及により、パスワードを使い分ける必要があるため、運用にも限界があります。また、同じパスワードを使い回す人は少なくないと思います。従って、ID・パスワードをしっかり管理し、更に二段階認証/二要素認証での認証でセキュリティを担保して運用していかなければなりません。
クラウドサービスは二段階認証/二要素認証があるサービスを選択しよう!
二段階認証/二要素認証って何のこと?
これは簡単に説明すると、認証が1回か2回の違いだと私は思っています。(ややこしいです)
二段階認証は、一般的にクラウドサービスにログインする場合、「ID・パスワード」を入力します。これに加え、二段階認証では2度の認証を行うことをいいます。「ID・パスワード」を入力したあと、SMSやメール通知した「ワンタイムパスワード」を入力したり、指紋認証することもあります。つまり、2回認証作業があることをいいます。二要素認証は、一度の認証で「ID・パスワード」+別の要素(指紋、静脈など)で認証する方式をいいます。二段階認証は、Google、Microsoftなども搭載している認証方式です。2段階認証では、同じ端末(OS、ブラウザー、機種の情報が一致した情報)でログインした場合は2度の認証がないことが一般的なのでクラウドサービスを使う際には、設定を「ON」にする方が安全だと言えます。