パスワードレス認証のFIDO2は、これからのサイバーセキュリティ対策の必須要件？

2021年3月10日8:30

2021年を“認証維新”の年と位置付け、普及に向けてまい進するISRの経営戦略

FIDO2に対応するクラウドセキュリティサービス「CloudGate UNO（クラウドゲート ウノ）」を提供するインターナショナルシステムリサーチ（ISR）は、3月9日、最新のサイバーセキュリティ対策に関する記者向けセミナーを開催。代表取締役のメンデス・ラウル氏が、サイバー攻撃の脅威とその対策について、2020年に起こったSolarWinds事件と2016年米国大統領選でのメール情報流出事件の事例を交えつつ解説した。ハッキング被害の8割がパスワードに起因しているといわれる中、ラウル氏はパスワードレスによるFIDO認証はこれからのサイバーセキュリティ対策に必須と力説。2021年を“認証維新”の年と位置付け、今後2~3年で認証方式のスタンダードをパスワードレスに切り替え、日本社会をパスワードから解放するとともにセキュリティ強化に貢献したいと展望を語った。

パスワードを窃取し多要素認証すら突破した
米国の2つのサイバー攻撃の事例

近年、サイバー攻撃の事例は後を絶たない。中でもわれわれの記憶に新しい大きな事件として、インターナショナルシステムリサーチ（以下、ISR）代表取締役 メンデス・ラウル氏は米国で起きた2つの事件を取り上げた。

1つは2020年に起きた、SolarWinds事件。攻撃者はまず、SolarWinds社のOffice365のアカウントの1つにアクセスし、これを足掛かりに最終的には開発環境への侵入に成功。ソフトウェア「Orion」のアップデータ版にSunburstというマルウェアを書き込み、米国の9つの連邦政府機関や大手IT企業100社を含む1万7,000社が実害を被った。米国の国議会は今なお関係各社とともに原因や対応策の究明を続けている。

2つ目は2016年の米国大統領選でのメール情報流出事件。当時の米・民主党のキャンペーンマネージャーであったジョン・ポデスタ氏が、送られてきたフィッシングメールのリンクにアクセスしてパスワード変更を行ったことで、メールによる機密情報のやり取りが漏えい。これがクリントン氏の大きな敗北要因となったとされる。

2つの事件の共通点は、攻撃者がパスワードを含むクレデンシャル情報を窃取したこと、そして、多要素認証をもやすやすと突破していることだ。日々高度化、巧妙化するサイバー攻撃。このような脅威を回避することは、果たして可能なのか――？　FIDO2認証を行うことによって、これらのリスクを大幅に軽減することが可能なのだという。

実際、DNC（民主党全国委員会）では、2017年にヤフーの最高情報セキュリティ責任者だったボブ・ロード氏を最高戦略責任者に任命し、FIDO2準拠のセキュリティキーを使ったGoogleのAdvanced Protection Programを導入した。これによって2018年の米国議員選挙で海外ハッカーからの攻撃に耐え、2020年の大統領選でも被害を防ぐことに成功。これがバイデン氏の勝利に大きく貢献。FIDO2導入の効果を実証する結果となった。

FIDO2はパスワードに依存せず
サーバとユーザー間で秘密を共有しない

FIDO2は、2018年に導入された最新のFIDO認証仕様であり、パスワードの代わりに生体認証またはPINを使用してログインする仕組みだ。ハッキングによる侵害の8割は、パスワードが原因といわれている。パスワードを使わず生体認証等を利用するFIDO2は、攻撃者によるパスワードの窃取の危険性を回避できる。

さらに多要素認証に関しては、セキュリティ対策として普及しつつあるSMSと電子メールコードを利用した二段階認証は、フィッシング対策としては十分ではない。サーバとユーザーがやり取りする間に、秘密の情報が盗み取られる危険性があるためだ。FIDO2では生体認証情報などはユーザーの端末に保存され、サーバに送信されることがないため、多要素認証を突破される危険も回避することができるのだ。
サイバー攻撃が日に日に巧妙化している昨今、企業は、攻撃されることを前提とした“ゼロトラスト”の考えに基づいて、システムを設計・運用する必要がある。そのような中で、FIDO2の利用が認証強化策として効果的であることは、各方面で立証されつつある。「コロナ禍でマスク着用が必須なように、これからのセキュリティ対策にFIDO2の導入は必須の要件」とラウル氏は力説する。

ISRでは提供するクラウドセキュリティサービス「CloudGate UNO（クラウドゲート ウノ）」に、2019年からFIDO2対応のパスワードレス認証機能を実装している。「CloudGate」の導入企業は現在、1,600社80万アカウント。ISRは「CloudGate」の提供を通じて、経営理念である「お客様の情報資産を守る」と同時に、日本社会に“認証維新”を巻き起こしていきたい考えだ。2～3年後には日本社会の認証方式のスタンダードをパスワードレスに切り替えて、セキュリティ強化を実現すると同時に「日本をパスワードから解放したい」と、ラウル氏は熱く抱負を語った。