第3回 パスワードリスト攻撃への企業としての対策

IT・IT製品TOP > Key Conductors > 乗口 雅充(株式会社セキュアスカイ・テクノロジー) > 第3回 パスワードリスト攻撃への企業としての対策
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

第3回 パスワードリスト攻撃への企業としての対策

ネットワークセキュリティ 2014/04/03

 今回は、企業としてクラウドなどの外部サービスを利用する場合の考え方、および自社のWebサイトへのパスワードリスト攻撃対策について考えてみます。

外部サービスを利用するときは「リスクの許容」が肝心

 クラウドなど外部サービスを利用するときに1番の勘所となるのが「リスクの許容」です。もともと外部サービスでは自社責任でセキュリティ管理・制御のすべては行えず、インターネット上のさまざまな脅威にもさらされることになります。しかし脅威は必ずしもリスクに結びつくものではありません。企業のリスクにならないもの、あるいは業務生産性と比較してごく小さいリスクであるなら、それを許容して利用するほうが賢明です。
 そのためには、例えばオンラインストレージの場合なら流出しても問題になりそうもない公表された製品情報などの共有手段として積極的に活用し、個人情報など機微情報は保管しないといったルール作りが必要です。万が一の流出時に、担当者が責任を問われないで済むようにするためにも、企業として「ここまでは許容が可能」なラインを引き、業務やデータの機密度に応じて外部サービスの利用可否を決めるとよいでしょう。

外部サービス選びのためのセキュリティ上のチェック事項

 同時に、セキュリティの知見に乏しい経営者にも納得できるだけの材料を用意して「これで問題が起きたなら仕方がない」と判断してもらえるようにしておく必要もあります。その材料の1つになるのが、業者のセキュリティ面への注力の度合いを示す次のような情報です。

● 

 「情報セキュリティ方針」などで情報セキュリティの大枠を公表している。

● 

 脆弱性診断を高頻度で実施し、システムに脆弱性がないことを確認している。

● 

 情報セキュリティ管理の第三者認証基準であるISMS(情報セキュリティマネジメントシステム)に適合している。

● 

 国際規格ISO/IEC27001:2005(国内規格JIS Q27001:2006)認証に対応している。

● 

 個人情報保護対策をしている事業者を認定するPマークを取得している。

● 

 クレジットカード業界のセキュリティ標準PCIDSSに準拠している。

 特に脆弱性診断を実行しているか否かは大事なポイントです。大手業者では常識ですが、新興サービスでは実行していないケースがままあるのです。国内では脆弱性診断実施の証明書を発行する業者が多いので、可能なら入手しておくとよいでしょう。また前回記事で示したように「有名で実績があるサービスを選ぶ」方法も有効です。
 ただし、「昨日まで安全であっても今日安全であるとは限らない」のがセキュリティ管理の難しいところです。各種の認証やポリシー公表、脆弱性診断は目安にはなっても「だから完璧」とは言い切れません。むしろ、「これだけ周到な対策をとっている業者なのだから、ここがハッキングされたのなら仕方がない」「この業者の事後対応以上のことは他でも期待できない」といった割り切りができるかどうかが最大のポイントと言えるでしょう。

自社Webサイトへのパスワードリスト攻撃への対策

 次に、自社のWebサイトがパスワードリスト攻撃にさらされた場合の対策について考えてみましょう。
 1つの対策は、ログインの際にID/パスワード以外に別種の認証方式を用意して、「2要素認証」を行うことです。例えばワンタイムパスワードやICカード認証などを追加して組み合わせます。本人の記憶であるID/パスワードに加え、ワンタイムパスワードトークンや社員証兼用ICカードなどのその人だけの「持ち物」が認証に使われるので、機械的なアクセスをはねのけることができます。また機械では読み取れない変形した文字列を画像表示し、それをID/パスワードとともに入力させるCAPTCHA(キャプチャ)と呼ばれる仕組みも有効です。現在は日本語を表示するツールも市販されています。

図1 日本語対応のCAPTCHAの例

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図1 日本語対応のCAPTCHAの例
図版提供:セキュアスカイ・テクノロジー
図2 CAPCHAとユーザID/パスワードを組み合わせた2要素認証のイメージ

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

図2 CAPCHAとユーザID/パスワードを組み合わせた2要素認証のイメージ
図版提供:セキュアスカイ・テクノロジー

ネットワーク上でパスワードリスト攻撃を検知する

 パスワードリスト攻撃の特徴をネットワーク上で検知できるツールも登場しています。例えばWAFサービスの「Scutum」などは、同じIPアドレスからの同処理の通信回数を監視し、その通信がログインの処理かどうかを判別する機能を搭載しています。大量ログインが同じIPアドレスから行われ、高率で失敗することから、そのIPアドレスからのアクセスを制限あるいは遮断することができるわけです。 

 以上のほか、前回記事で紹介したようなパスワードのランダム生成ツール、パスワード管理ツールの利用を標準的な運用ルールに組み込むことも有効でしょう。また従業員のセキュリティ意識向上のための教育機会を増やすことも、基本的に重要な対策です。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30007087


IT・IT製品TOP > Key Conductors > 乗口 雅充(株式会社セキュアスカイ・テクノロジー) > 第3回 パスワードリスト攻撃への企業としての対策

このページの先頭へ

キーマンズネットとは
1962年、福岡県生まれ。86年鹿児島大学工学部卒業後、株式会社リクルート入社。97年某ネットワーク・インテグレーターのセキュリティ事業を担当し、2006年株式会社セキュアスカイ・テクノロジーを設立し、代表取締役に就任。

ページトップへ