2020年7月21日

リモートワーク拡大でパスワードのみの認証がSSOを脅かす
今後テレワークが増える日本も、サイバー攻撃の標的になりえる

東京都では、7月9日から100人以上の新型コロナウイルス感染者がでており、企業活動を続けるために今後もリモートワークは拡大し、業務アプリケーションのクラウド化が予測されています

実際に自宅で業務を行う社員も多くなりつつある今、様々なクラウドアプリケーションを導入する企業も多いため、IT管理者は、システムなどの運用業務に合わせ、それぞれのアプリケーションに紐づく莫大な「パスワードの管理」と企業資産を守るための業務に追われているでしょう。

そのため、これまでその利便性だけでなく、「1つのパスワード」で複数のサービスを利用できる点から、セキュリティの向上が行えると思っていたSSO(シングルサインオン)を導入した企業も多いのではないでしょうか。

しかし、SSOをも脅かす「パスワード」が起因となるパスワードリストやパスワードスプレーなどの攻撃がまたもや報告されました。SSOが「パスワードのみの認証」ではなぜ危険なのか、そしてその危険性から企業資産をどのように守るのかをここで説明します。

パスワードが起因のサイバー攻撃がなぜSSOを脅かすのか?

SSOは、1つのパスワードさえあれば複数のサービスへアクセスできる反面、1つのパスワードさえ窃取してしまえば様々な情報へ容易にアクセスできてしまうからです。その一つの事例がパスワードスプレー攻撃です。

最近では、英国家サイバーセキュリティセンター(NCSC)と米国土安全保障省のサイバーセキュリティ機関(CISA)が共同で警戒情報を発令し、新型コロナウイルス感染症に対応するヘルスケア業界や医療研究機関に狙いを定め、特定のパスワードを複数のアカウントで連動的に試して不正にログインしようとする大規模なパスワードスプレー攻撃が発生していると報告しました。

今回の報告は一部の業界や機関となっていますが、その他の業種においても油断は禁物です。
リモートワークが普及したため、コミュニケーションチャンネルの確保としてWeb会議ツールやグループウェア・ビジネスチャットなどの新たなSaaSの導入・活用が進んでおり、今後は社内文書や社外取引文書の電子化が中長期的に拡大するとされています。新たに複数のクラウドサービスが導入されれば、1つのパスワードで一度の認証で利用できるSSOは、今後必要なサービスになるでしょう。そして、この世の中の流れを利用し、攻撃者は推測しやすいパスワードを使い、SSOを標的とした攻撃が今後日本国内の企業をも脅かすことが考えられます。

働き方を柔軟にするために利便性の高いツールを導入しても、機密情報へのアクセスに対してよりセキュリティを高めなければ、悪意ある第三者にとって絶好の機会を与えてしまうだけなのです。

セキュアにSSOを利用するには?

リモートワーク セキュアにSSOを利用するには?

生体情報やセキュリティキーを用いて認証を強化することです。
現在では、MacBookのTouch IDを搭載した機種Windows10デバイスのWindows Helloで生体認証が利用できます。さらにCloudGate UNOを利用すれば、パスワードレス認証としてこれらの生体認証を利用した様々なクラウドサービスへのSSOが可能となり、SSOの利便性と安全性を両立が実現できます。

既に会社でこれらのPC端末を利用している社員がいるのであれば、生体認証を取り入れることを検討しても良いのではないでしょうか。

いくらパスワードを複雑化し、長くしても、その安全性はパスワードスプレー攻撃の手法からも分かるように見破られるのは時間の問題です。 また、認証強化の1つとして、ID・パスワード認証にセキュリティキーを追加した認証もあり、本人が記憶しているパスワードと本人が保持しているもので認証を行うため、攻撃者が情報へアクセスすることは難しくなります。しかし、社員がパスワード自体を忘れてしまいアクセスできなくなれば、IT管理者はパスワードリセットなどの対応に追われることになります。

そのため、SSOのメリットを最大限に活かしたセキュアに利用する方法としてお勧めしたいのが、パスワードを使わない「顔認証」や「指紋認証」などの生体認証を実装することです。狙われているパスワードを使わなければ、攻撃対象から外れるため、非常に安全な認証方法になります。

最後に

これまでその利便性だけでなく、1つのパスワードで複数のサービスを利用できる点から、セキュリティの向上が行えると思っていたSSO。
このSSOをも脅かす攻撃は、またもや「パスワード」が起因となっていました。

そして、現在の新型コロナウイルス拡大で変化した働き方を逆手にとり、これからもパスワードを狙い、機密情報へアクセスしようとする攻撃は増えていくことでしょう。

私たちISRは、柔軟な働き方が強いられるこの時代だからこそ、クラウドサービスをよりよく利用できる環境をCloudGate UNOで提供し、IT管理者の負担の軽減、そして企業資産を守ることを第一に取り組んでいきます。

ページの先頭へ