新年度になって1カ月あまり、やっと人の顔と名前を間違えなくなった・・・。と、内心ほっとしていたら『経理部へ新しいログインシステムを導入するので立ち会って』とIT部門からのお誘い。あれッ、ログインの問題は「アイデンティティマネジメント」の導入で片付いたんじゃないの? と思いつつも、セキュリティ担当・美咲、今日も出動します!
システムへのログインって、前回の「アイデンティティマネジメント」をしっかりやっておけばOKなのかと思っていたら、それだけじゃないのね。
すごく簡単に説明すると、システムを利用するには、使う人が「ユーザーとして正しい。本人である」というのと、その人が「データやアプリケーションを利用する権限を持っている」という2つが同時に確認されないとダメなんだ。
「権限」というのは、ユーザーの属性、つまりどの部門の人なのかといった情報で決まるんだ。
前回のアイデンティティマネジメントは・・・
ユーザーの「属性」を管理するためのものだった、というわけね。
うん。そして「その人が誰なのか」とか、「ほんとうにユーザー本人なのか」といったことを確認する手続きを「認証」と呼んでいるんだよ。
で、これらが、システムが安全に使用されるための最初の関門にもなっている。
ということは、ログインに使うIDやパスワードは認証の道具なの?
そうだよ。手軽で簡単だから、最も多く利用されているんだよ。
だけど、盗まれたり、“なりすまし”にあったり、認証の道具としては万全とは言いがたい弱点も持っている。
だから「1カ月に1回はパスワードを変更しましょう!」「推測されやすいパスワードは使用しない!」なんて、システム部門はいろいろ奨励しているのね。
そう。定期的なパスワード変更だけでもかなり効果的だから、ぜひ実践してほしいよね。
「スマートカード」を入れようという声もあがっているみたいよ。
でも今日、経理に導入された「手のひら静脈認証」にはちょっとビックリしたわ。銀行で使ったことがあったんだけど・・・(笑)。
最近は、ウチみたいな中堅企業にも人気なの?
財務データや特許情報などを扱う部門では、不正アクセスは絶対に排除しなければならないからね。より強固な認証がいろいろ必要とされているんだ。
だから、ユーザー本人にしか備わっていない「指紋」や「手のひら静脈」を利用する認証システムに注目が集まっているんだよ。
それで、ウチの経理部も「手のひら静脈認証システム」の導入に積極的だったのね。マウス型の装置の上に手のひらをかざすだけで、すっごく簡単にログインできたのよ(笑)。でも、高セキュリティなのよね。
そうだね。認証と不正アクセスは、いわゆる“イタチごっこ”だからね・・・(笑)。
新しい認証技術が開発されると、すぐにそれを破ろうとする不正な技術が登場する・・・。心理的な手法も併用するなど、最近は手口も巧妙になってきているし・・・。
ついに、人の指紋や手のひら静脈を利用する「生体認証」まで来てしまった、というわけなんだ。生体認証のシステムも、一般の企業が導入してみたいサイズや価格帯になってきたしね。
指紋や手のひら静脈を使う認証は、今のところ切り札! というわけね(笑)。
なんか、今日の美咲はサエてるね!
といっても、認証の方法や技術は日々進化しているから、セキュリティ担当者としては技術や製品は多種多様である、目的に合わせて選択する、などを基本にしておくといいよ。
了解!
お問い合わせ
情報セキュリティに関するお問い合わせ
情報セキュリティに関する ご質問、ご相談、資料請求
