Blog

セキュリティ不祥事から学ぶシステムのあり方【入門】 ~ 認証を強化せよ ~

2019.07.09Cat:Blog プログラマー 開発

 「セキュリティと使いやすさのバランスが重要」

不祥事から学ぶ

さまざまな情報漏洩事件から情報が洩れることの被害は甚大なものとなってきている。

「日本旅行の内々定メール誤送信」「セブンペイの不正アクセス」といったネットニュースになった不祥事が続いている。

いずれもシステムの仕様に不備があったから起こった事である。

 

日本旅行の内々定メール誤送信

どこのシステムを使っているのかまでは把握していないが、ボタン1つで4万人に一斉メール送信できてしまうシステムを採用に使っている事がわかった。

しかも、登録したものの選考にエントリーしていない人にまでご送信していた。

原因としては、人為的ミスとしているが、そのようなミスで大きな影響が出てしまうシステムである事の方が大きな問題である。

使いやすさという点が足りていないのが、表に出てきた事例の1つである。

 

セブンペイの不正アクセス

悪意のある第三者が不正アクセスを行い、登録されたクレジットカードおよびデビットカードを通じて当該アカウントにチャージを行い、セブン‐イレブン店舗において商品を購入するという被害があった。

不正アクセスが疑われる人数・金額(試算)
約900名/約5,500万円 ※2019年7月4日 6:00現在

引用元:一部アカウントへの不正アクセス発生による チャージ機能の一時停止について

「二段階認証」や「パスワードリセット」に関する仕様のリスクは、事前に十分予測できたはずであり、対策を怠ったと言われている。

運営している人が悪いように書かれているが、間違いなく悪いのはクラッキングを行った人たちである。

とはいえ、二段階認証を行わなかったのが致命的になってしまった。

セキュリティを強化する事が必須になっている。

次に、どのようにセキュリテイを強化しているかを考えていく。

 

多要素認証の採用

現状、7割以上ののサービスが「IDとパスワードのみの認証」である。

全体の76.9%の組織が、「ID、パスワードのみの認証」しか行っていません。

業種別では特に「通信」90.3%、「保険」87.1%は割合が高く、一方「インターネット販売(ECサイト)」64.5%、「ゲーム」65.5%となっていて、これらの業種では多要素認証への対応が進んでいるといえる状況である。

フィッシング対策協議会の発表資料より

IDとパスワードでの認証では、セキュリティとしては物足りない時代になりつつあり、そこで提案されているのが多要素認証である。

 

多要素認証とは

セキュリティを高めるテクノロジーとして多要素認証が注目されている。

これは、従来のパスワードに加えてもう一つの方法で認証を行いセキュリティレベルを高めることを可能にするというものである。

といっても、よくわからないと思うので具体例を以下に示します。

  • キャッシュカードの利用時
  • クレジットカードでの支払い

ともに、持つ要素(カード)と知る要素(暗証番号)を用いた2要素認証である。

「知る要素」・「持つ要素」・「備える要素」を組み合わせる事で、セキュリティを高める事が注目されている。

この多要素認証は、これまでは銀行の取引や何かを購入するといった金銭のやり取りが伴うシステムにおいて不正取引が行われないために導入されてきた。

しかし、これからは情報そのものを守るためにも多要素認証を使ったセキュリティを高める仕組みが使用されるようになってくる。

これで十分だと思う人もいると思うが、万が一 このセキュリティを突破された際に原因を追求する必要がある。

 

原因の追求と再発防止

「ログを残す」という意味でシステムにおける防犯カメラを設置するとなおよい。

そのアクセスログを解析する事で、なぜ起きたのかを把握し、セキュリティの抜け道を潰す事ができ、再発防止策を考える事ができる。

 

まとめ

安心して使ってもらえるシステムは、「セキュリティと使いやすさのバランスが絶妙」である。

セキュリティが硬すぎるとユーザーの手間が増え、ユーザーの手間を減らしすぎるとセキュリティが甘くなるというトレードオフの関係にある。

「セキュリティと使いやすさのバランス」を大切にしていきたいと思う。

Author Profile

MasafumiNiwaya
» 投稿一覧
     
  • Launch Cart越境ECカート

Archive

ページTOPへ