依然とは?/ アットローン
[ 478] TechTargetジャパン:依然続くパスワード管理の悩み、いまだ解決の決め手なし
[引用サイト] http://techtarget.itmedia.co.jp/tt/news/0612/26/news01.html
|
ホームビジネスとIT戦略システム運用管理基幹系アプリケーション情報系アプリケーションセキュリティシステム開発/構築通信ネットワーク パスワードが使われている限り、それを付せん紙に書き留めるユーザーは後を絶たない。だが、バイオメトリクスや認知心理学を応用した認証方式はまだ普及の段階とは言えない。 パスワードが使われる限り、PCにベタベタと黄色い付せん紙がはられているのをあちこちで見かけることになるだろう。 こうした習慣のリスクは明らかであり、賢明なパスワード管理方法が数多くあるにもかかわらず、ITマネジャーは、パスワードを安易にメモしないようユーザーを説得できていないようだ。 ニュークリアス・リサーチが先ごろ実施した325人のユーザーに対する調査によると、ユーザーの3人に1人がコンピュータパスワードを紙に書き留めるか、電子的に保存している。 この調査では、企業がパスワード管理に取り組んでも、パスワードを記録するというユーザーの習慣は一向に変わらない現状も明らかになった。IT部門は、ユーザーが複雑なパスワードを作成し、頻繁にパスワードを変更し、シングルサインオンか複数のパスワードを利用して各種アプリケーションにアクセスするといったプロセスを整備することはできる。だが、それでもユーザーはパスワードをメモするという。 「言ってみれば、両親が家に強力な防犯システムを設置したのに、子供がシステムの鍵をドアマットの下に置いているようなものだ」とニュークリアスリサーチの上級アナリスト、デビッド・オコンネル氏は語る。 パスワードを記録していると答えた33%の回答者のうち、3分の1はパスワードを紙に書き留めており、3分の2はテキストファイルに記録してコンピュータやPDAに保存している。 「従業員がパスワードを紙に書き留めていると、企業はソーシャルエンジニアリングによる攻撃に非常に無防備になる」とオコンネル氏。「攻撃者がまんまと会社に入り込み、オフィスを歩き回って、パスワードが書かれた黄色い付箋を見つけ出す恐れがある。これは現実に起こることだ」 オコンネル氏は、パスワードを電子的に記録するのも、紙に書く以上にではないにしても、同様に危険なことだと語る。 非営利金融機関トラビスクレジットユニオンのプロセス改善/ネットワーク・セキュリティ担当バイスプレジデント、リチャード・ローク氏は、トラビスは、パスワードの盗難で被害に遭ったことはないと語る。だが、一部の職員はパスワード管理がややルーズだったと同氏は認めている。 「職員がほかの職員に自分のパスワードを教えて、彼らがログインできるようにするといったことが頻発していた。われわれはそれを知ってすぐに厳しく禁止した。そして、パスワードは誰にも、ITスタッフにも教えてはならないことを職員全員に周知する教育を徹底した」(ローク氏) パスワード管理の負担に悩む企業がバイオメトリクスの活用を模索する動きも出ており、一定の成功を収めているケースもある。しかし専門家は、バイオメトリクス製品はまだ十分に成熟していないと指摘している。 トラビスクレジットユニオンでは、78のアプリケーションで何らかのユーザー名とパスワードが必要だったことから、ヘルプデスク担当者は、パスワードが分からなくなったユーザーからの問い合わせに対応するためだけに、1日平均1時間も費やしていた。 ローク氏はこの問題を解消する手段として、バイオメトリクスを選択した。同氏は指紋認証技術を採用したが、当初は精度に難があった。 「この技術はまだ成熟していなかった」と同氏。「70%の人についてはうまく機能した。しかし、わたしの上司を含むそれ以外の人の場合は、少なくとも5回は試みないと指紋が登録されなかった」 ローク氏は昨年、指紋認証製品を提供するデジタルペルソナにベンダーを切り替えた。その後、同氏は同社のソフトウェアと指紋読取装置を組織全体に導入した。 「もう1年以上利用している」とローク氏。「われわれが使ってきた中で一番優れたソリューションの1つだ。ヘルプデスクへの問い合わせは減少しており、エンドユーザーはユーザー名とパスワードをすべて覚える必要がなくなった」 ローク氏は、指紋認証装置がユーザーを認識しなかった場合の補助的な認証方法として、パスワードを引き続き利用している。だがこれまでのところ、トラビスクレジットユニオンの412人の職員のうち、指紋認証で何らかのトラブルを経験した人は1人しかいない。 フォレスターリサーチのアイデンティティ/セキュリティ担当主席アナリスト、ジョナサン・ペン氏は、バイオメトリクス認証は、現在のパスワード認証よりもはるかに安全だと語る。ただし、バイオメトリクスは、PIN付きスマートカードや、ワンタイムパスワードトークン、USBトークンなど、企業が検討している多くのアプローチの1つにすぎないという。 「この技術は驚くほど簡単にハッキングできる」とニュークリアスリサーチのオコンネル氏は指摘する。「ある指紋スキャナの場合、ハッカーは幾つかの一般的なキッチン用品を使って、スキャナが使われた後の残留指紋をコピーすることに成功している。ほかの認証方法よりもハッキングしやすいとは言わないが、バイオメトリクス技術はまだ、広く支持される条件が整っていない」 「バイオメトリクス認証は、顔や指紋、声紋など、どんな身体的特徴を利用するものもまだ未成熟であり、セキュリティ担当者は健全な懐疑心を持って取り組んでいる」とペン氏は語る。 トラビスクレジットユニオンのローク氏は、同機関が導入したデジタルペルソナの技術について、一般的な手法でハッキングを試みるテストを行った。同社の指紋スキャナはハッキングを阻止したという。 ペン氏によると、指紋認証製品ベンダーはハッキング対策を強化している。だが、フォールスポジティブ、フォールスネガティブの誤認や、何度も読み取りを行ってやっと正しく認識されるというトラブルの頻発が、依然として問題となっていると同氏は指摘している。 オコンネル氏によると、認知バイオメトリクスという新分野の認証ソフトウェアが登場してきている。同氏はこうしたバイオメトリクス技術を最も有望と考えている。 認知バイオメトリクスソフトウェアは、個々のユーザーにお気に入りの思い出を尋ねることで、各ユーザーについて学習する。そしてユーザーにこうした思い出について質問し、その答えによってユーザー認証を行える。また、応答時間やマウスの動きなど、ユーザーのコンピュータ操作の細かい特徴を追跡することもできる。 認知バイオメトリクスベンダーのコグネトのパトリック・オードリーCTO(最高技術責任者)は、コグネトのシステムは、質問に対するユーザーの回答を追跡するだけでなく、ログオン中のユーザーがコンピュータをどのように操作するかも追跡すると語る。例えば、マウスの使い方など、ユーザーのコンピュータ操作の仕方が普段と違う場合には、コグネトのシステムはそのユーザーをログオフさせることができる。また、ユーザーが普段とは異なる場所からログオンした場合には、同社のシステムは追加の認証情報を要求できる。 「彼らのシステムはこのような変数、つまり、ある人のコンピュータ操作のやり方の中で他人にはまねできない要素を使って、本人確認を行う」とオコンネル氏。「そうした要素は覚える必要がまったくない。そもそも覚えられるものではない」 オコンネル氏は、どの企業にとっても最も効果的な認証アプローチは、異なる認証方法を組み合わせて利用することだろうと語る。例えば、コグネトは、一部のバイオメトリクス情報読取技術と同社のソフトウェアを統合している。また、オードリー氏によると、コグネトは自社製品を「パスワードを補強するシステム」と位置づけているという。 顧客の信頼を得るために、まず上層部が従業員の信頼を得る必要がある。とはいえ、従業員に信頼されることは必ずしも簡単ではない。 情報漏えいの可能性のある部分を特定する際に考慮すべき重要なポイントと、あらゆるデータの漏えい防止(DLP)プランニングに共通する注意点をそれぞれ列挙する。 メールなどを企業活動の証跡として保存しておけば、内部統制を実施していることになる――そう思い込んではいないだろうか。真のコンプライアンス対応とは、保存した後のデータ活用を考え、実践することにある。 電力・エネルギー測定はデータセンター運営のための重要な指標になる。サーバのエネルギー効率を測定するには、正しいツールと方法を利用する必要がある。 複雑化の一途をたどる企業情報システムの成長を考える上で生まれたSOA。その導入のピークを迎える前に、日本企業は米国の失敗に学ぶべきだ。 システム導入担当者の課題を解決する、会員限定の情報が満載">失敗しないIT投資のために……システム導入担当者の課題を解決する、会員限定の情報が満載 ・700点以上のホワイトペーパー・豊富な導入事例や製品レビュー・IT専門家によるWebセミナー会員登録してご利用ください! クレジットカード業界の個人情報保護法ともいえるPCI DSS。その要件と実用的な対策を具体例を挙げながら解説する。 シンクライアントはセキュリティに優れているがコストが掛かる。既存PCとNASを主体に構成することで、コストとセキュリティ双方の問題を解決するソリューションが日本から登場した。 多様化・巧妙化する迷惑メール。自社のメールサーバが大量の迷惑メールを受信する前に、自社ネットワークの外でシャットアウトできる迷惑メールフィルタリングサービスを紹介する。 情報資産のリスク管理は企業にとって大きな課題となっているが、決して容易な作業ではない。ここでは、ビジネスプロセスの効率性を高めながら、精度の高いリスク管理およびコンプライアンス管理を実現するソリューションを紹介する。 市販されている任意のスパイウェア対策製品において、スパイウェア駆除効果を正確かつ総合的に評価するために必要な技法について説明する。 個人情報保護法施行後もなお多発する情報漏えい事故。中でも特に増加傾向にある、「うっかりミス」による電子メールの誤送信にフォーカスしたソリューションを紹介する。 近年、オンラインサービスの拡大を背景に、ユーザー名やパスワードといったオンラインIDの窃盗被害が急増している。しかし、これらの脅威に対抗するためには従来型の単一要素認証では不十分だ。ここでは、最新のオンラインID攻撃対策を解説する。 システム導入担当者の課題を解決する、会員限定の情報が満載">失敗しないIT投資のために……システム導入担当者の課題を解決する、会員限定の情報が満載 ・700点以上のホワイトペーパー・豊富な導入事例や製品レビュー・IT専門家によるWebセミナー会員登録してご利用ください! TechTargetジャパン(テックターゲットジャパン)は、IT製品/サービスの導入・購買に役立つ情報を提供する無料の会員制メディアです。会員登録することで記事全文を読めるほか、ホワイトペーパーなどの各種サービスをご利用いただけます。 |
