社外にある端末を利用するテレワーク環境では、業務で利用する社内システムやクラウドサービスへアクセスする際にID/パスワードによる認証処理を実行することが一般的だ。しかし万が一にでもID/パスワードの情報が流出してしまうと、なりすましによる不正アクセスやマルウェアの侵入などの被害に遭うおそれがある。認証によるセキュリティリスクを軽減するには、どのような対策が効果的なのだろうか。

あまりにもリスクが大きい「ID/パスワードのみ」のテレワーク

 コロナ禍によってテレワークの実施が当たり前になったいま、セキュリティ対策が不十分なテレワーク端末を狙ったサイバー攻撃が急増している。とりわけ増えているのが、送信者を詐称したメールを送り付け、不正サイトへ誘導してID/パスワード情報を盗むフィッシング詐欺だ。社内ネットワークへアクセスするための情報が流出し、機密情報の窃取やランサムウェアの被害に遭う事例も後を絶たない。

 ID/パスワードだけに頼った認証の脆弱性は以前から指摘されていたことだ。過去にはパスワードを定期的に変更したり、パスワードフレーズを長くしたりすることが有効だとされていた。しかし、パスワードを頻繁に変えてもどんなに文字列が長くても、ID/パスワードの正しい組み合わせが分かれば、いとも簡単に不正アクセスを許してしまう。

 そうした欠点を補うものとして、近年注目されているのが「多要素認証」だ。これはID/パスワードのように本人が知っている「記憶」の要素だけでなく、物理的に持っている「所持」の要素を1つ以上追加する仕組みのことだ。IDカードやUSBトークンを用いたハードウェア認証、スマートフォンのアプリやSMSを利用したデバイス認証、あるいは本人の身体的特徴を利用した生体認証などを組み合わせ、認証処理の安全性を高めるものだ。

 スマートフォンが広く普及した現在は、追加コストがかかるハードウェア認証や生体認証よりも、容易に導入でき初期投資も抑えられるスマートフォンを利用したデバイス認証を採用する例が増えている。

 次項では、テレワーク環境のセキュリティ強化を目的に、多要素認証の仕組みを構築した企業の事例を紹介する。情報システム部門だけの課題ではなく、セキュリティを経営課題と位置づけていたこの企業は、わずか10日間という短い期間で構築を成し遂げることができた。どのようにプロジェクトを進めたのか。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。