パスワードレス認証のFIDO2は、これからのサイバーセキュリティ対策の必須要件?

2021年3月10日8:30

2021年を“認証維新”の年と位置付け、普及に向けてまい進するISRの経営戦略

FIDO2に対応するクラウドセキュリティサービス「CloudGate UNO(クラウドゲート ウノ)」を提供するインターナショナルシステムリサーチ(ISR)は、3月9日、最新のサイバーセキュリティ対策に関する記者向けセミナーを開催。代表取締役のメンデス・ラウル氏が、サイバー攻撃の脅威とその対策について、2020年に起こったSolarWinds事件と2016年米国大統領選でのメール情報流出事件の事例を交えつつ解説した。ハッキング被害の8割がパスワードに起因しているといわれる中、ラウル氏はパスワードレスによるFIDO認証はこれからのサイバーセキュリティ対策に必須と力説。2021年を“認証維新”の年と位置付け、今後2~3年で認証方式のスタンダードをパスワードレスに切り替え、日本社会をパスワードから解放するとともにセキュリティ強化に貢献したいと展望を語った。

パスワードを窃取し多要素認証すら突破した
米国の2つのサイバー攻撃の事例

近年、サイバー攻撃の事例は後を絶たない。中でもわれわれの記憶に新しい大きな事件として、インターナショナルシステムリサーチ(以下、ISR)代表取締役 メンデス・ラウル氏は米国で起きた2つの事件を取り上げた。

1つは2020年に起きた、SolarWinds事件。攻撃者はまず、SolarWinds社のOffice365のアカウントの1つにアクセスし、これを足掛かりに最終的には開発環境への侵入に成功。ソフトウェア「Orion」のアップデータ版にSunburstというマルウェアを書き込み、米国の9つの連邦政府機関や大手IT企業100社を含む1万7,000社が実害を被った。米国の国議会は今なお関係各社とともに原因や対応策の究明を続けている。

概要図

2つ目は2016年の米国大統領選でのメール情報流出事件。当時の米・民主党のキャンペーンマネージャーであったジョン・ポデスタ氏が、送られてきたフィッシングメールのリンクにアクセスしてパスワード変更を行ったことで、メールによる機密情報のやり取りが漏えい。これがクリントン氏の大きな敗北要因となったとされる。

2つの事件の共通点は、攻撃者がパスワードを含むクレデンシャル情報を窃取したこと、そして、多要素認証をもやすやすと突破していることだ。日々高度化、巧妙化するサイバー攻撃。このような脅威を回避することは、果たして可能なのか――? FIDO2認証を行うことによって、これらのリスクを大幅に軽減することが可能なのだという。

実際、DNC(民主党全国委員会)では、2017年にヤフーの最高情報セキュリティ責任者だったボブ・ロード氏を最高戦略責任者に任命し、FIDO2準拠のセキュリティキーを使ったGoogleのAdvanced Protection Programを導入した。これによって2018年の米国議員選挙で海外ハッカーからの攻撃に耐え、2020年の大統領選でも被害を防ぐことに成功。これがバイデン氏の勝利に大きく貢献。FIDO2導入の効果を実証する結果となった。

FIDO2認証はパスワードに依存しない認証方式

FIDO2はパスワードに依存せず
サーバとユーザー間で秘密を共有しない

FIDO2は、2018年に導入された最新のFIDO認証仕様であり、パスワードの代わりに生体認証またはPINを使用してログインする仕組みだ。ハッキングによる侵害の8割は、パスワードが原因といわれている。パスワードを使わず生体認証等を利用するFIDO2は、攻撃者によるパスワードの窃取の危険性を回避できる。

さらに多要素認証に関しては、セキュリティ対策として普及しつつあるSMSと電子メールコードを利用した二段階認証は、フィッシング対策としては十分ではない。サーバとユーザーがやり取りする間に、秘密の情報が盗み取られる危険性があるためだ。FIDO2では生体認証情報などはユーザーの端末に保存され、サーバに送信されることがないため、多要素認証を突破される危険も回避することができるのだ。
サイバー攻撃が日に日に巧妙化している昨今、企業は、攻撃されることを前提とした“ゼロトラスト”の考えに基づいて、システムを設計・運用する必要がある。そのような中で、FIDO2の利用が認証強化策として効果的であることは、各方面で立証されつつある。「コロナ禍でマスク着用が必須なように、これからのセキュリティ対策にFIDO2の導入は必須の要件」とラウル氏は力説する。

ISRでは提供するクラウドセキュリティサービス「CloudGate UNO(クラウドゲート ウノ)」に、2019年からFIDO2対応のパスワードレス認証機能を実装している。「CloudGate」の導入企業は現在、1,600社80万アカウント。ISRは「CloudGate」の提供を通じて、経営理念である「お客様の情報資産を守る」と同時に、日本社会に“認証維新”を巻き起こしていきたい考えだ。2~3年後には日本社会の認証方式のスタンダードをパスワードレスに切り替えて、セキュリティ強化を実現すると同時に「日本をパスワードから解放したい」と、ラウル氏は熱く抱負を語った。

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

指紋認証付クレジットカードやログイン時の本人確認など生体認証技術を使用するコンポーネントの機能、パフォーマンス、セキュリティー試験をお引き受けします。(FIME JAPAN)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP