Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved.
これならわかる
ワンタイムパスワード認証
サービス事業本部
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved.
背景
2
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 3
モバイル、クラウドの企業利用は急速に伸びています
3
モバイルPC、スマートデバイス(タブレット、スマートフォン)といった機器の普及や、クラウドサービスの利用が一般的になり、企業における利用も進んでいます。
法人のスマートフォンとタブレット端末の導入率の比較 平成23年通信利用動向調査
出典:法人のスマートフォンとタブレット端末の導入率の比較(矢野経済研究所)
出典:平成23年通信利用動向調査の結果(総務省)
クラウド
クラウドのパワーがあれば、
小型、高性能でない機器でも十分業務利用できる!!
1年で50%増加!!
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 4
リモートアクセス、BYODは特別なものではありません
4
社外からモバイルPC、スマートデバイスを使い、社内のIT資産にリモートアクセスすることも全企業の約7割が実施済み、または利用を検討中です。
さらに、利用機器として社有の機器ではなく、個人所有の機器を業務利用するBYOD(Bring Your Own Device)が約4割になります。
社外からのリモートアクセス利用状況(対象:820社)
出典:IDC Japan, March 2012
モバイルデバイス別 BYOD利用状況
出典: IDC Japan, 1/2013
約約約約4割割割割ががががBYOD
約約約約7割割割割がががが利用利用利用利用or 検討中検討中検討中検討中
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 5
リモートアクセスで使用される認証方式
5
正しい利用者のみが会社の情報資産にアクセスするには、利用者の認証は避けて通ることはできず、最も使われることが多い方式として多数の企業が固定パスワードのみを採用しているのが実情です。
リモートアクセスの認証方式
出典:IDC Japan, March 2012
約7割が固定パスワード
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 6
固定パスワードは、これまでの利用実績や容易に利用できることから採用されることが多いです。
しかし、基本的に人の記憶に頼る方式であることから、安易なルール、辞書にあるような単語を使うといったことをすると、他者になりすましをされるリスクがあります。
<<<<事例事例事例事例1111>>>>某某某某ネットネットネットネット銀行銀行銀行銀行 口座不正口座不正口座不正口座不正ログインログインログインログイン
8つの口座が推測されたパスワードから不正ログインされ、合計140万円が不正に引き出され、全額補填することとなった。
<<<<事例事例事例事例2222>>>>某某某某ポイントサイトポイントサイトポイントサイトポイントサイト なりすましなりすましなりすましなりすまし不正不正不正不正ログインログインログインログイン
サイトの利用者IDとパスワードを用いたなりすましにより、27件ポイントが不正に利用され、ポイントの補償を含めて個別に対応することになった。
固定パスワードのリスク
6
社内社内社内社内のののの重要重要重要重要ななななITITITIT資産資産資産資産であるであるであるである、、、、個人情報個人情報個人情報個人情報やややや機密情報機密情報機密情報機密情報
のののの漏漏漏漏えいえいえいえい事故事故事故事故につながりますにつながりますにつながりますにつながります。。。。
企業企業企業企業でのでのでのでのリモートアクセスリモートアクセスリモートアクセスリモートアクセス((((BYOD))))でなりすましをされるとでなりすましをされるとでなりすましをされるとでなりすましをされると・・・・・・・・・・・・
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 7
個人情報の漏えいによる被害の実情(被害額)
7
個人情報漏えいの件数は年々増加しており、1件当たりの損害賠償額も1/4が
100万円以上となっており、無視できない状況といえます。
2012年上半期個人情報漏えいインシデント 概要データ【速報】 2012年上半期個人情報漏えいインシデント トップ10
漏えい人数とインシデント件数 1件当たりの想定損害賠償額
¼ののののケースケースケースケースがががが100万円万円万円万円以上以上以上以上!!!!!!!!
出典:NPO Japan Network SecurityAssociation (JNSA)
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 8
被害に合わないためのIPAからの注意喚起
8
(a)パスワードを強化する
� 英字(大文字、小文字)・数字・記号など使用できる文字種全てを組み合わせる
� 8文字以上にする
� 辞書に載っているような単語や名前(人名、地名)を避ける
(b)パスワードを適切に保管する
� パスワードをメモする時は、IDと別々にする
� 定期的に棚卸しをする
(c)パスワードを適切に利用する
� ネットカフェなど、不特定多数が利用するパソコンでは、IDやパスワードを入力しない
�ワンタイムパスワードなどのサービス(二
要素認証、二段階認証等)を利用する出典:独⽴⾏政法⼈情報処理推進機構 技術本部 セキュリティセンター(IPA/ISEC) 第11-21-220号「コンピュータウイルス・不正アクセスの届出状況[2011年5⽉分]について」
パスワード運用の強化
追加の仕組みで対応
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 9
実際に対応すると・・・
9
� 追加の仕組み(システム)で対応
認証要素を追加(多要素認証)することで、なりすますには固定パスワード以外の要素についても対応しなければならず、より困難になります。パスワードを管理(覚える)するた
めのユーザの負荷が高くなり、利用者全員が適切に対応できない恐れもあります。
利用者全員が同じレベルのセキュリティを確保できます。
� パスワード運用の強化
パスワードを強化し、そのパスワードを適切に保管、利用することにより、なりすましされにくくはなります。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 10
多要素認証、ワンタイムパスワード
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 11
多要素認証の種類と特徴
11
ソリューションソリューションソリューションソリューション導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ワンタイムパスワード × ○ ○ ◎ コストが割高
マトリクス認証 △ ○ ○ ○ 非標準の方式
生体認証 × ○ ◎ ○ 対応率の問題
PKI(電子証明書) △ △ ○ ◎ 運用が煩雑
出典:IDC Japan, March 2012
多要素認証の要素となりうる各ソリューションには以下があり、それぞれ特徴があります。
参考:認証強化ソリューションとしてのワンタイムパスワード(HP)
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 12
ワンタイムパスワード(OTP)とは
12
•OTPトークンと呼ばれる一定期間有効なパスワードを、デバイスやシステムが自動生成し、ユーザが認証画面に入力することで、OTPトークンを「持っている事」の確認を行う(所有物認証)
•パスワードの再利用が不可能なため、盗聴等のセキュリティの脅威に対しても非常に強い
80327359803273598032735980327359
07145633071456330714563307145633
45212660452126604521266045212660
盗聴盗聴盗聴盗聴
認証認証認証認証
サーバサーバサーバサーバ側側側側
80327359803273598032735980327359
07145633071456330714563307145633
45212660452126604521266045212660
80327359
8032735980327359
80327359
時間の経過に伴いデバイス等に表示されるパスワードが変化
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 13
ワンタイムパスワードには、ワンタイムパスワードの表示方式により、さらに以下の種類があります。
ワンタイムパスワードの種類
13
トークントークントークントークン有無有無有無有無 表示方式表示方式表示方式表示方式 概要概要概要概要
トークンあり ハードウェアトークン 専用のカードやUSBキーといったハードウェア上に表示
ソフトウェアトークン PC、スマートデバイスに導入した専用ソフトウェア上に表示
トークンなし Mail ワンタイムパスワードを利用者のMailアドレスに送信し、PC、スマートデバイスのメーラーやWebブラウザにて確認
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 14
方式ごとの特徴は以下になり、必ずしも全てが先に記述した内容と同じではありません。
ソリューションソリューションソリューションソリューション導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ワンタイムパスワード × ○ ○ ◎ コストが割高
マトリクス認証 △ ○ ○ ○ 非標準方式
生体認証 × ○ ◎ ○ 対応率の問題
PKI(電子証明書) △ △ ○ ◎ 運用が煩雑
ワンタイムパスワードの方式ごとの特徴
14
ワンタイムパスワードワンタイムパスワードワンタイムパスワードワンタイムパスワードソリューションソリューションソリューションソリューション
導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ハードウェアトークン × △ △ ◎ コストが割高
ソフトウェアトークン ○ ○ ○ ◎ 専用ソフトウェアの導入が必要
Mail ○ ○ ◎ △ WebMailは、なりすましの危険あり
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 15
ソリューションソリューションソリューションソリューション導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ワンタイムパスワード × ○ ○ ◎ コストが割高
マトリクス認証 △ ○ ○ ○ 非標準方式
生体認証 × ○ ◎ ○ 対応率の問題
PKI(電子証明書) △ △ ○ ◎ 運用が煩雑
ワンタイムパスワードの方式ごとの特徴(導入コスト)
15
ワンタイムパスワードワンタイムパスワードワンタイムパスワードワンタイムパスワードソリューションソリューションソリューションソリューション
導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ハードウェアトークン × △ △ ◎ コストが割高
ソフトウェアトークン ○ ○ ○ ◎ 専用ソフトウェアの導入が必要
Mail ○ ○ ◎ △ WebMailは、なりすましの危険あり
ハードウェアトークンは、専用ハードのコストが必要なため「×」ですが、以外ではそこまでのコストにはなりません。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 16
ソリューションソリューションソリューションソリューション導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ワンタイムパスワード × ○ ○ ◎ コストが割高
マトリクス認証 △ ○ ○ ○ 非標準方式
生体認証 × ○ ◎ ○ 対応率の問題
PKI(電子証明書) △ △ ○ ◎ 運用が煩雑
ワンタイムパスワードの方式ごとの特徴(サポートコスト)
16
ワンタイムパスワードワンタイムパスワードワンタイムパスワードワンタイムパスワードソリューションソリューションソリューションソリューション
導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ハードウェアトークン × △ △ ◎ コストが割高
ソフトウェアトークン ○ ○ ○ ◎ 専用ソフトウェアの導入が必要
Mail ○ ○ ◎ △ WebMailは、なりすましの危険あり
ハードウェアトークンは、専用ハードの管理コストが発生するため、「○」とまでは言い難いです。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 17
ソリューションソリューションソリューションソリューション導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ワンタイムパスワード × ○ ○ ◎ コストが割高
マトリクス認証 △ ○ ○ ○ 非標準方式
生体認証 × ○ ◎ ○ 対応率の問題
PKI(電子証明書) △ △ ○ ◎ 運用が煩雑
ワンタイムパスワードの方式ごとの特徴(ユーザの利便性)
17
ワンタイムパスワードワンタイムパスワードワンタイムパスワードワンタイムパスワードソリューションソリューションソリューションソリューション
導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ハードウェアトークン × △ △ ◎ コストが割高
ソフトウェアトークン ○ ○ ○ ◎ 専用ソフトウェアの導入が必要
Mail ○ ○ ◎ △ WebMailは、なりすましの危険あり
<<ハードウェアトークン>専用の機器を持ち歩くため、利便性は高くないです。
<ソフトウェアトークン>普段持ち歩くPC、スマートデバイス、携帯電話が使えるが、専用ソフトウェアを使う必要があります。
<Mail>普段持ち歩くPC、スマートデバイス、携帯電話が使え、メーラー、ブラウザも普段使用しているものが使えます。(専用ソフトウェアが不要)
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 18
ソリューションソリューションソリューションソリューション導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ワンタイムパスワード × ○ ○ ◎ コストが割高
マトリクス認証 △ ○ ○ ○ 非標準方式
生体認証 × ○ ◎ ○ 対応率の問題
PKI(電子証明書) △ △ ○ ◎ 運用が煩雑
ワンタイムパスワードの方式ごとの特徴(なりすまし対策強度)
18
ワンタイムパスワードワンタイムパスワードワンタイムパスワードワンタイムパスワードソリューションソリューションソリューションソリューション
導入導入導入導入コストコストコストコスト
サポートサポートサポートサポートコストコストコストコスト
ユーザユーザユーザユーザのののの利便性利便性利便性利便性
なりすましなりすましなりすましなりすまし対策強度対策強度対策強度対策強度 デメリットデメリットデメリットデメリット
ハードウェアトークン × △ △ ◎ コストが割高
ソフトウェアトークン ○ ○ ○ ◎ 専用ソフトウェアの導入が必要
Mail ○ ○ ◎ △ WebMailは、なりすましの危険あり
ワンタイムパスワードをWebMailに送信する方式のものは、悪意のある者がWebMailにログインすることでワンタイムパスワードが漏えいしてしまう可能性があり、注意が必要なため「◎」とまでは言い難いです。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 19
おまけ:やってみよう、自分に適した認証強化ソリューション簡易判定フロー
19
なりすましに対し、非常に高いセキィリティ対策をしたい。
認証(サービス利用)する機器まで限定する。
PKI
(電子証明書)
生体認証 マトリクス認証
PC、スマートデバイス、携帯電話を持ち歩く。
ワンタイムパスワード
どのどのどのどの方式方式方式方式がががが良良良良いかいかいかいか
さらにさらにさらにさらに判定判定判定判定
ハードウェアトークン
PC、スマートデバイス、携帯電話にソフトウェアトークンを導入できる。
ソフトウェアトークン
凡例
Yes
No
生体情報で認証(生体情報を管理)することに抵抗がある。
スタート
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 20
まとめ
20
� リモートアクセスにおける認証強化は急務です!
利用するデバイス、サービスのみ世間の変化に追随するだけでなく、それらを活用するためのセキュリティについても考慮しないと、情報漏えいといった事態に陥ります。
既にそのような状況であれば、早急なご対応をお勧めします。
� ワンタイムパスワードのメリット
以下により認証強化には、ワンタイムパスワードがさらに有力な候補となります。
ソフトウェアトークン、Mailの方式とすることで・・・
� 導入コストを抑える
� サポートコストを抑える
� ユーザの利便性が高くなる
また、なりすまし対策強度を落とさないため、WebMailにワンタイムパスワードを送信する方式は注意が必要です。
Copyright© 2013 OGIS-RI Co., Ltd. All rights reserved.Copyright© 2014 OGIS-RI Co., Ltd. All rights reserved. 21
<法人のスマートフォンとタブレット端末の導入率の比較:矢野経済研究所>
http://news.mynavi.jp/news/2013/10/04/045/
<平成23年通信利用動向調査:総務省>
http://www.soumu.go.jp/menu_news/s-news/01tsushin02_02000040.html
<社外からのリモートアクセス利用状況、リモートアクセスの認証方式:IDC Japan>http://www.idc.com/research/viewtoc.jsp?containerId=J12200151
<モバイルデバイス別 BYOD利用状況:IDC Japan>http://www.idcjapan.co.jp/Press/Current/20130117Apr.html
< 2012年上半期個人情報漏えいインシデント概要データ【速報】 等:JNSA>
http://www.jnsa.org/result/incident/2012.html
<認証強化ソリューションとしてのワンタイムパスワード:HP>
http://h50146.www5.hp.com/products/software/security/icewall/otp/
<コンピュータウイルス・不正アクセスの届出状況[2011年5月分]について:IPA>
http://www.ipa.go.jp/security/txt/2011/06outline.html
出典、参考
21