CloudGateサポートチームでは毎月、複数の管理者様より管理者サイトに入れなくなるといったトラブルのご相談を頂いております。その原因として最も多いのが「パスワード忘れ」によるものです。パスワード忘れのようなトラブルを防ぎ、なおかつ安全に認証を行うためには、一体どうしたら良いのでしょうか?
管理者がパスワードを忘れた際の被害範囲は広い
今回、「IT管理者が管理者サイトへアクセスするパスワードを忘れたらどうなるのか」という問題について考えていきたいと思います。
管理者サイトへアクセスできないということは、管理者サイト上で行うべき作業や業務が一切できないということであり、大きな支障が出ることが考えられます。管理者自身の作業が滞ってしまうことはもちろん、ユーザーからの緊急の問い合わせにも即座に対応することができないなど、困った事態になりかねません。
また、もしユーザーがパスワードを忘れてしまった際は、社内にいる管理者にパスワードリセットを依頼するので社内間で問題解決を行うため、比較的早く解決することができます。しかし、社内で他に管理者サイトに入れる人がいない場合は、サービスを提供しているサービスプロバイダーに依頼せざるを得ない場合もあります。
パスワードリセットの依頼を受けたサービスプロバイダーは多くの場合、なりすましによる不正を防ぐために、まず初めにパスワードリセットを依頼した人物の本人確認を行うと思います。その際、正確に本人確認が完了されないと、そのサービスのパスワードがリセットされて再度サービスにアクセスできるようになるまでに多くの時間を費やすこととなります。
通常、本人を確認する情報には、サービスを契約した当初に指定されたリカバリー用のパスワードや、契約時に指定した情報を使って行うことが多いですが、そういった情報は日々の業務で使うものではないため記憶しておくことは困難です。また、サービスを使い続けていく上で管理者の異動や退職により、その情報がうまく引き継がれていなかった場合、本人確認にさらに多くの時間を要する可能性があります。その間、管理者が行うべき社内の業務はすべて滞り、ひいては社内のユーザーの業務が滞ることになってしまいます。
パスワード忘れから自分でリカバリーをする方法
このような事態を防ぐため、ISRではCloudGate UNOの管理者様に対して、ご自身でリカバリーができる以下のような方法をご案内しています。
従業員や拠点などの増加に伴い、システム管理者一人の管理では行き届かなくなることがあります。担当業務や部門ごとに別の管理者を配置してシステム管理の業務を分担することがリスク管理となります。
CloudGate UNOではパスワードを忘れた場合に、パスワードリカバリー機能を使って自分でパスワードを再設定することができます。
しかし、このように自身でリカバリーをできるように準備していたとしても、結局のところ最低限の時間はかかるため、やはりある程度で業務が止まってしまう可能性はあります。
パスワードのみの認証の限界
そもそもパスワードのみの認証の仕組みにはセキュリティ上のいくつかの問題があります。管理者サイトの場合で言えば、一番考えられるリスクは管理者権限の侵害です。仮に管理者サイトがパスワードのみの認証だけしか設定されていない場合、またそのパスワードが覚えておきやすい安易なものや、個人を特定できる情報に設定している場合、フィッシングや総当り攻撃、リスト攻撃によっていとも簡単に突破されてしまいます。もし、管理者権限を不正利用されてしまった場合、企業の損害は甚大なものになると予想されます。
近年、サイバー犯罪やランサムウェアによる攻撃が、毎週のようにメディアの見出しを賑わせているためなのか、サイバーセキュリティに関する人々の意識は少しずつ変化しているようです。カナダのパスワード管理サービス企業である1Passwordが、北米の労働者2,000人を対象とし、サイバーセキュリティや現代の仕事の重要な側面に関する従業員の感情や行動を調査しました。 この レポート によると、回答者の50%が、会社が直面する最大の脅威は、従業員が詐欺やフィッシングに引っかかることだと回答しています。しかし、こういった状況にも関わらず、職場には悪いセキュリティ慣習が根強く残っていることがこの調査から分かっています。
悪い習慣としては、
49%の回答者が、パスワードに 個人を特定できる情報を使用。
(※ディレクター以上の社員で顕著に)
34%の回答者が、リスクを 承知の上でパスワードを再利用。
また、同じ調査でパスワードの記憶に対する限界が垣間見える結果が出ています。仕事用のパスワードを記憶する方法として主流は以下となります。
ただ覚えておく
書き留めておく
パスワードマネージャーを使う
一人あたりが仕事に使うサービスやアプリは昨今増加傾向にあります。そのため覚えておかなければならないパスワードも増加することになり、ただ記憶するだけでは追いつかず、パスワードマネージャーのような機能を使うことになるのかと思います。しかし、パスワードマネージャーの機能自体の脆弱性の心配や、パスワードマネージャーのマスターパスワードが漏洩した場合に一気に大量のパスワードが漏洩する恐れもあり、セキュリティ対策としていい方法だとは言いづらいと思います。また、セキュリティ機能のついた信頼できるパスワードマネージャーを利用すると有料の場合が多いため、コスト面でも懸念が残ります。
増えるワンタイムパスワードの導入とその落とし穴
人々が次第に「パスワードのみの認証では危険である」と気づき始めた頃、高度なセキュリティを求められる金融系などのWebサイトを中心にワンタイムパスワードの導入が多く見られるようになりました。ワンタイムパスワード(One Time Password:OTP)とは、一定時間内に一度だけ使うことができる使い捨てのパスワードのことです。
そもそも、認証を行う要素には「知識情報」、「所持情報」、「生体情報」があります。そして認証は異なる要素を使うほどセキュリティの強度が上がると言われています。
IDとパスワードを使った認証の場合、使う要素は両方とも「知識情報」に属するため、1つの要素のみで認証を完結させます。一方、IDとパスワードを入力したあとに発行されるOTPを使った認証の場合は、知識情報に加えて、SMS通知やアプリで生成されたOTPを受け取る際に利用するスマートフォンという所持情報が追加されるため、多要素認証のカテゴリーに入ります。そのため、IDとパスワードを使った認証と比較するとセキュリティは高くなります。
しかしながら、OTPはフィッシングサイトに誘導され認証情報を窃取される危険があり、安全な多要素認証とは言えません。 では、パスワード忘れのようなトラブルを防ぎ、なおかつフィッシングを回避できる安全な認証を行うためには、一体どうしたら良いのでしょうか?
そうだ、パスワードレス認証だ
パスワードのみの認証は管理面でも、セキュリティ面でも課題が残るということが明らかになりました。では、パスワードに課題があるのなら、「パスワードを使わない」という方法をとればいいのではないでしょうか?
CloudGate UNOでは、すべてのプランにおいてパスワードを認証要素として使用しないパスワードレス認証(FIDO2/Pocket CloudGate)をご利用いただくことが可能です。
生体情報(指紋/顔)やPINなどを使用し 「認証デバイス」や「端末」で本人検証を行い、 その結果をもとに認証を行うため、パスワードのように情報を記憶しておく必要がなく、認証の際の入力の手間も省くことができます。
さらに、使用する生体情報やPINは認証デバイス内に安全に保管され、ネットワーク上に出ないため、フィッシングなどによるの漏えい/窃取にも耐性があり、利便性だけでなく安全性においても優れています。
まとめ
管理者が管理者サイトへアクセスするパスワードを忘れた際、以下の懸念があります。
- 管理者サイトへのアクセスにパスワードのみの認証を適用していた場合、管理者がパスワードを忘れると アクセスができなくなる。
- 管理者としての業務、ユーザーからの緊急問い合わせへの対応が滞り、業務に支障が出る。
- パスワード忘れ防止のためといって覚えておきやすい安易なもの/個人を特定できる情報を使用すると、 推測され不正ログインされて管理者権限の侵害をされてしまう可能性も。
- セキュリティ対策としてOTPを利用するケースが増えているが、OTPはフィッシングに弱く十分な対策を 取ったとは言えない。
上記のような事態を防ぐためには、「パスワードを使わない」フィッシングに強く便利なFIDO2パスワードレス認証を導入することをお勧めします。
