ホスティングサービスのことならkikakuya

■情報漏洩の危機

ここ最近、いくつかの大手企業からの情報漏えいに関するニュースを目にします。東日本大震災を機に、震災のどさくさに紛れた犯罪が多発している昨今、情報に対するさらなる強化が重要視されてるように感じます。特に大企業になればなるほど、やり手のハッカー集団に狙われ攻撃される確率が高くなるのは火を見るよりも明らかですので、その点を踏まえてセキュリティに関する内容を今回は掘り下げてみたいと思います。

■セキュリティ強化に有効なSecurID

さて、自社情報の漏えいを防ぐ手段として注目されているのがSecurIDと呼ばれる認証機構です。これは、ユーサーごとにトークンという一定間隔ごとに認証コードを作成する小型の物理デバイスを用いた認証機構の事です。なお、再認証コード生成までの間隔については、通常30～60秒ごとに生成されるよう作られております。それにより、万が一パスワードが他者へ漏洩した場合でも即座に切り替わる為、セキュリティ強化の有効な手段として数多くの企業が導入しております。ちなみに、トークンには大きく分けて2種類のトークンがあり、それぞれ「ハードウェアトークン」「ソフトウェアトークン」と呼ばれてます。

■トークンの種別

それぞれのトークンを簡単に説明させていただくとハードウェアトークンには、機械の分解や製品の動作確認などでの調査をされない為の耐タンパー性を考慮した設計が採用されているようです。またソフトウェアを用いてのなりすましを防ぐべく、シードレコードと呼ばれる秘密鍵を用いるなど厳重な作りになっております。ソフトウェアトークンの場合、耐タンパー性そのものは無くハードウェアトークンと同じアルゴリズムを持っているだけとなります。また、シードレコードについても、導入時にクライアントコンピューターにファイル形式で配布されるか、USB接続端子を持つスマートカード機能を内蔵した物を利用するかのいずれかで対応する形となりますので、金銭面的な部分を抜きにして、より強化をめざす大企業などはハードウェアトークンの方がお勧めなのかもしれません。

■リスクベース認証機能

しかし、実際問題としてこの機能を利用するとトークンが手元に無い時点でログイン不可となり仕事にならないなんて場面もユーザーによっては出てきそうです。かといって、ユーザIDとパスワードによるシステムだけだとパスワード漏えいなどの不安が付きまといます。その2つの面を考慮し、最近ではリスクベース認証機能付きの認証サーバも出てきております。これは、常日ごろログインしているパソコンなどからアクセスした場合にはIDと固定パスワードのみで認証してくれますが、全く違う場所からのアクセスには追加の認証(予め登録しておいた秘密の質問やトークンの認証コード)が必要になるといった中小企業向けの認証サーバのようです。企業規模や使用箇所によって何が最適かを考え、それぞれに合った有効なセキュリティを取捨選択していく事が求められてるのかもしれませんね。

投稿者 企画屋BLOG担当: 2011年06月07日 15:57