多要素認証とは何で、その未来はどうなるのか?
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
そろそろパスワードのセキュリティに関する話題に辟易してませんか?一連の セキュリティ被害とMat HonanのiCloud アカウントのハッキングに関する記事が出てから、普段はセキュリティなんて扱わないメインストリームのメディアでさえも、パスワードのセキュリティに ついて語りっぱなしに思えます。
そして、その多くがセキュリティの現状について悲観的のように思われます。
でも、実際はそこまで酷い状況ではありません。さらに、現在の認証方式を大きく飛躍させる、興味深い技術の登場にも期待 できます。
未完成の現状
パスワードやマルウェア、データ漏洩に関わらず、100%安全なセキュリティは存在しません。なぜなら、セキュリティに人間が関わる限りそこに弱点が生まれるからです。
あなたを守る不死身のロボット軍団は作れても、リモコンを誰かに渡したら、その軍団があなたを狙ってくるかも知れません。
そして人々は、あまりに簡単にリモコンを手放しがちです。
この完璧とはほど遠い現状で、我々にできることはどんなことでしょう?
それは、侵入者が忍び込みそうないくつもの抜け道を塞ぐために、重層構造のセ キュリティを用意することです。
各層は、他の層の穴を互いに補完します。犯罪者は、より見返りの多い相手を狙うので、完全とは言えなくても隣の人より少しでも強力なセキュリティを施しておけば、リスクを減らせるのです。
言い換えれば、標的としての魅力を減らす努力が大切です。
Honanに対するハッキングは、あらゆるセキュリティの穴が一列にそろってしま い、攻撃者による彼のデジタルライフへの正面突破を許してしまった、分かりや すい例だといえるでしょう。
その記事の4つのレッスンの内のいくつかで、この様な被害 は食い止められたと思われます。
第一に、Googleの二要素認証を使っていません でした。
二番目は、多くのアカウントにリンクを張っていたことで、結果として彼がハッキングのお膳立てをしてしまいました。
二要素認証とは、何か?
一般に、あなたがあなたであることを証明する方法には3種類あると考えられています。最も普及している方法は、「あなただけが知っている情報」を利用します。
例えば、あなたが設定したユーザ名とパスワードです。あとの2種類には、携帯電話や鍵のように「あなただけが持っているもの」を使う方法、そして 指紋のように「あなた自身の一部」を使う方法があります。
単要素認証では、あなたがあなた自身であることを確認するために、上記の方法 の1つだけを利用します。
と言っても、1つの情報しか入力しないとは限りません。
例えば、秘密の質問というのがあります。出生地、好きな車、朝食の定番メ ニューなど、10の質問があったとしても、回答を入力するだけですから、これは 単要素認証と言うことになります。
多要素認証では、2つ以上の異なる種類の認証が行われます。
二要素認証は、欧 州など米国以外の金融機関で広く使われています。GoogleおよびFacebookは、どちらも二要素認証が使えます。ユーザの重要なデータを保管するあらゆるオンラ インサービスで、近い内に二要素認証が普通になるでしょう。
最も一般的な二要素認証では、ユーザ名およびパスワードに加え、携帯電話、ド ングル、電子メール、などに送られてきた一時キーを入力します(これを二段階 認証と呼ぶこともあります)。
あなたがATMを利用するとき、キャッシュカード と暗証番号を組み合わせるのも二要素認証と言えます。
これでも完全な保護とは 言えませんし、一時キーを受け取る方法がなければアカウントにログインでき ないという問題もあります。
二要素認証が、す でに破られた事実もあり、すでに時代遅れだと言う人もいます。
そこで、多くの企業や団体が三要素認証を模索しています。
三番目の認証方式は、オンラインでは、まだ普及していません。指紋スキャナが 付いているラップトップコンピュータを時々見かけますが、日常的に利用してい る人にあったことはありません。指紋スキャナ付きのキーボードを搭載するコン ピュータを社員全員に配布した大手メーカに友人がいますが、結局はスキャナの 利用を全社的に中止してしまいました。
そのようなスキャナは、パッと見は単純 に見えますが技術的にはまだまだ問題も多いのです。
セキュリティの強化 と、そのために増加した問い合わせへの対応を天秤にかけて、その価値が労力に見合わないと判断したわけです。
未来の認証方式
一般的な二要素認証方式が既に破られ、三番目の方式がまだ準備不足だとする とどうした良いのでしょう?その点について、多くの人が研究を行っており、興味深く、独創的な回答も見いだされつつあります。 そのような回答の一つが、人物を特定できる他のデータを利用することです。前出の知っていること、持っているもの、自身の一部の他に、どこにいるか、と言う情報を利用する試みです。
例えば、WiFiベースステーション、 GPSロケーション、あるいはIPアドレスなどです。
多くのユーザは、固定IPアドレスを使っていませんし、携帯電話を使う時も一カ 所にとどまっていませんから、ほとんどの場合これらは個人を特定する情報とは言えません。
しかし、ユーザの行動からプロフィールを作成してみると、無意味に思えた情報が、有効な情報に変わりそうなのです。
クレジットカード会社は、不正使用を示す利用パターンを検出する際に、同様の情報を利用しています。
例えば、北海道から東京へ旅行に行って、銀座の高級宝 飾店で買い物したとき、クレジットカード会社から電話での確認が求められ る、といった具合です。
これは、過去に東京でクレジットカードを使ったことがなかったり、その高級宝飾店で買い物したことがなかったため、本人がクレジッ トカードを使っているのか、疑問に思われるからです。
この例は、「あなたが誰か」を示す情報について新しい視点を与えてくれます。
特定の人間を示す情報というのは、物理的に判別できるものだけでなくその行動パターンにも含まれうるというわけです。
ウェブサーフィンや検索操作の傾向を収集して、個人を特定しようとする試みは、盛んに行われています。
最近のそんな研究の一つでは、オンラインでの行動から個人 を特定できるとしています。
もちろん、プライバシーを保護しつつ正確さも維持する、そのバランスには細心の注意が必要です。
こうした情報は何らかの方法で個人の不利益になる可能性はあっても、その銀行口座にハッカーが侵入した り、ストーカーが住所を知るために使うことができないため、従来なら「 個人を特定できる情報」とは考えられていなかったでしょう。
いずれにしろ、最近のパスワードセキュリティの難しさに関する主要メディアの 記事の内容は、セキュリティ業界では目新しいものではありません。
現在のコンピュータセキュリティは非常に複雑化しており、標準的なユーザに対してこれさえしていればOKという助言にまとめることはできません。
しかし、今より簡単で、もっと便利な、非常によくできた技術が生まれつつあります。
その時が来るまでは、認証に関するあらゆる行動において、注意して注意し過ぎることはあ りません。
By Lysa Myers on August 17, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support