より高いセキュリティを求める企業のセキュリティ対策
昨今のランサムウェアをはじめとしたサイバー攻撃による被害は計り知れません。このため、企業の代表者であるCEOが主体となり、サイバー攻撃手法の変化に応じた企業のセキュリティ対策強化を考えることが不可欠です
サイバーセキュリティの現状と課題
Palo Alto Networksが発表したクラウド脅威レポートによると、組織は脆弱な認証を使い続けていることが分かっています。
攻撃者は漏洩した正規のユーザー名とパスワードを利用することで、なりすましによるログインを成功させます。
さらに、キーマンズネットが2022年8月に発表した調査によると、認証に関する意識は変わらず、ID/パスワードの使用は増加傾向にあります。
組織の76%は、
パブリッククラウドのサービス
利用者にMFAを適用していない
組織の58%は、
特権管理者ユーザーに
MFA を適用していない
62.3%のユーザーが、
直近2~3年の間で業務で利用する
ID/パスワード数が「増えた」と回答%
参照:Palo Alto Networks クラウド脅威レポート
日本国内でもフィッシングの件数は増えています
パスワードにまつわるサイバー攻撃は増加の一途をたどっています
以下は近年発生したパスワードが原因となるサイバー攻撃事例です。
ランサムウェア攻撃
(医療請求サービス)
攻撃者はMFAが設定されていないCitrixアプリケーション※に対し、漏洩した認証情報を利用して、内部ネットワークへ侵入。9日間システム内にとどまり、ランサムウェア攻撃を 仕掛けた。
※デスクトップへのリモートアクセスを可能にする アプリケーション
リスト型攻撃による不正アクセス
(大手電気メーカー)
攻撃者が不正に入手したIDとパスワードの組み合わせリストを利用した、不正プログラムによるリスト型攻撃により、会員サイトにおいて不正アクセスおよびポイントの不正利用が発生。
クラウドサービスへの不正アクセス
(ソフトウェアサービス)
被害を受けた企業の社員になりすまして同社の取引先にメールを送り、パスワードなどを不正に取得して不正アクセスを行う。さらに盗んだ情報を攻撃者自身の会社の営業活動に利用。
サイバー攻撃を受けやすい環境にある企業とは
以下のような条件が揃っている企業は、攻撃を仕掛けられるアプローチ先がいくつもあり、攻撃されやすい危険な環境となっているため、
『より高いセキュリティレベルが求められる企業』だと考えられます。
- 全国に支社がある企業や海外支社を有する企業
- 正社員だけでなく契約社員やパート・アルバイト社員の数が多い企業
- ユーザー情報を預かるインフラ及び大規模なサービスを提供する企業
情報資産への入り口である認証を強化するためには、
フィッシング耐性のあるMFA(多要素認証)の導入を早急に行うべきです。
フィッシング耐性のあるMFA(多要素認証)とは
従来のSMSや電子メールによるMFAとは異なり、認証サーバーとユーザーが認証の資格情報(パスワードなど)のやり取りを行いません。さらに、認証器が正規ユーザーのものであるかどうかを検証し、認証プロセスが意図されたサイトとユーザーのデバイスの間でのみ行われることを保証します。現在広く一般的に利用可能なフィッシング耐性のあるMFAは、FIDOアライアンスが開発したFIDO認証です。
参照:NIST Update: Multi-Factor Authentication and SP 800-63 DigitalIdentity Guidelines
また、米国政府機関であるアメリカ国立標準技術研究所(NIST)が発行した、電子的認証に関するガイドラインによると認証システムのセキュリ
ティ的な強度レベル(AAL:Authenticator Assurance Level)について以下のように定義されています。
AAL1
単要素認証
(例)
・パスワード
AAL2
ワンタイムパスワードデバイス
やソフトウェアを用いる
(例)
・ワンタイムパスワード
・SNS
AAL3
ハードウェアベースの認証器と、
検証者のなりすましに対する
耐性を提供する認証器
(例)
・FIDO2対応セキュリティキー
・PIV(Personal Identity Verification)
より高いセキュリティを求める企業が導入すべきセキュリティ対策とは
上記のような認証システムのセキュリティレベルの違いを踏まえると、セキュリティキー等による端末に紐づくFIDO認証、
またはFIDO認証資格情報である「パスキー」利用したパスワードレス認証を導入することが望ましいでしょう。
YubiKeyを利用したFIDO認証
YubiKeyは、お使いのPCのUSBポートに挿入するだけで、1回のタップで中間者攻撃を防ぐFIDOベースのセキュリティを提供します。これにより、アカウントの不正利用やデータ侵害を効果的に防止することができます。ISRでは、FIDO認証最新技術規格であるFIDO2対応のセキュリティキーを提供するYubico社と販売代理店契約を結び、YubiKeyを取り扱っております。
端末に紐づくパスキー
現在のパスキーは、「同期可能なパスキー」と「デバイス固定パスキー」の2種類に分けられます。
同期可能なパスキーはクラウドサービスを介してユーザーのデバイス間で同期されるパスキーです。利便性は高いものの、セキュリティはデバイス固定パスキーに比べて劣る傾向があります。そのため、企業で利用する際にはデバイス固定パスキーの利用をお勧めします。
CloudGate UNOで端末に紐づくパスキーを
利用した安全なパスワードレス認証を実現
CloudGate UNOを導入することにより、セキュリティレベルの高い端末に紐づくパスキーを利用した安全・安心なパスワードレス認証が可能になります。
また、FIDO2対応のセキュリティキー・YubiKeyも取り扱っており、より高いセキュリティを求める企業のニーズに適したソリューションを提供しています。
端末に紐づくパスキー(デバイス固定パスキー)
Yubikeyなどの外部認証器を利用した場合のパスキーを指します。認証に利用する
パスキーが保存されているのはその認証器1つであると特定出来るメリットがあります。