5月の第一木曜日に設けられている世界パスワードの日にちなみ、米Google(グーグル)は、同社のアカウント・パスワードに関するブログ記事の中で、アカウント保護の新たな強化策として、二段階認証への登録をデフォルト化する方針を明らかにしました。世界中に大勢のアカウント保有者を抱えるGoogleが、アカウントの二段階認証のデフォルト化に踏み切ることで、インターネットのセキュリティに関する意識が高まることが予想されています。
Googleが発表した告知のためのブログ記事「A simpler and safer future — without passwords」によると、同社はすでに二段階認証の機能を提供しており、世界で数百万人のユーザーがその機能を有効化し、二段階認証プロセスでアカウントのセキュリティを強化しています。
二段階認証は、パスワード依存から脱却し、セキュリティを高める策として、効果的であると考えられています。Googleの場合、登録しているスマートフォンなどでの承認を要求することで、悪意の第三者による不正アクセスの防止を目指しています。同社はこの機能を自動的に有効化することで、セキュリティ強化を実現する狙いです。
同社はまた、Android端末をセキュリティキーとして利用できるようにしたり、iOSデバイスを認証キーとして使えるようにするアプリを提供、二段階認証の使いやすさを高める取り組みを進めています。
複数アカウントを持つ中で、本来は、そのサービスごとに異なるパスワードを設定することがセキュリティ強化には必要です。しかし、現実は、アカウントごとにパスワードを管理するのが非常に難しいため、パスワードを使い回してしまうケースも少なくありません。
同じパスワードを使っていると、どこかでアカウントデータが漏洩した場合や、セキュリティを破られてしまった場合、イモヅル式に他のアカウントにも不正アクセスを許すリスクが増大してしまいます。
パスワードが盗まれてしまうと、アカウントから締め出されてしまい、さまざまな問題に遭遇するリスクがあるからです。メールや連絡先などの個人情報、写真データなどをチェックされ、削除される可能性があります。また、本人になりすますことによって、連絡先に登録された知り合いに有害なメールが送信される恐れもあります。さらに、乗っ取られたアカウントを使って、銀行やECサイトのアカウントの決済情報が盗まれたり、パスワードを再設定されてしまう被害も想定されます。
流出したパスワードはリスト化され闇市場などで売買されています。悪意の第三者にそのリストが渡ってしまうと恐ろしい事態になりかねません。さまざまなサイトやサービスに対して、手当たり次第に不正ログインを試み、サイトやサービスのアカウントと一致してしまうと、たちまち被害者になってしまいます。
FIDOは本人確認とサーバ認証を分けており、ネットワークに認証情報を流さず、サーバにも保管しないので、パスワードが漏洩するリスクがありません。本人認証情報が格納されているのは、セキュリティーキーやスマートフォンといったデバイスの中にあります。セキュリティーキーなどで認証を行うと、PKI(公開鍵基盤)により秘密鍵で暗号化した署名をサーバーに送信し、公開鍵で署名を検証することで認証される仕組みになっています。
FIDOアライアンスは2012年に誕生した標準規格策定団体で、TPM(Trusted Platform Module=セキュリティチップ)やNFC(Near Field Communication=近距離通信)、生体認証技術などを活用して、パスワードに代わる新しい認証技術「FIDO」を標準規格化しています。FIDOアライアンスにはGoogle、Microsoft、Yahoo、LINEといったIT業界をリードする企業が名を連ね、加盟企業は年々増加し続けています。
・FIDOセキュリティキー
*「Google」はGoogle Inc.の登録商標です。
**その他の商品名、会社名、団体名は、各社の商標または登録商標です。
すでに二段階認証を有効化する動きも
世界パスワードの日は、快適なインターネット生活を送るためにパスワードが果たすセキュリティ上の役割を再認識するために制定されました。しかし、不正アクセスの脅威が深刻化する中で、パスワードだけでは安全性を守ることが難しくなっています。Googleが発表した告知のためのブログ記事「A simpler and safer future — without passwords」によると、同社はすでに二段階認証の機能を提供しており、世界で数百万人のユーザーがその機能を有効化し、二段階認証プロセスでアカウントのセキュリティを強化しています。
二段階認証は、パスワード依存から脱却し、セキュリティを高める策として、効果的であると考えられています。Googleの場合、登録しているスマートフォンなどでの承認を要求することで、悪意の第三者による不正アクセスの防止を目指しています。同社はこの機能を自動的に有効化することで、セキュリティ強化を実現する狙いです。
同社はまた、Android端末をセキュリティキーとして利用できるようにしたり、iOSデバイスを認証キーとして使えるようにするアプリを提供、二段階認証の使いやすさを高める取り組みを進めています。
パスワードの使い回しが招くリスク
近年、インターネットのセキュリティリスクは増大しています。また、多くのユーザーが複数のサービスアカウントを持つようになり、認証をパスワードに頼っていると、パスワードを管理するのも大変な状況です。複数アカウントを持つ中で、本来は、そのサービスごとに異なるパスワードを設定することがセキュリティ強化には必要です。しかし、現実は、アカウントごとにパスワードを管理するのが非常に難しいため、パスワードを使い回してしまうケースも少なくありません。
同じパスワードを使っていると、どこかでアカウントデータが漏洩した場合や、セキュリティを破られてしまった場合、イモヅル式に他のアカウントにも不正アクセスを許すリスクが増大してしまいます。
パスワード依存からの脱却を
Googleはアカウント利用者に対し、「複数のサイトで同じパスワードを使用すること」「インターネットからソフトウェアをダウンロードすること」「メールの本文にあるリンクをクリックすること」などの行為によって、簡単にパスワードを盗まれてしまう可能性があると警鐘を鳴らしています。パスワードが盗まれてしまうと、アカウントから締め出されてしまい、さまざまな問題に遭遇するリスクがあるからです。メールや連絡先などの個人情報、写真データなどをチェックされ、削除される可能性があります。また、本人になりすますことによって、連絡先に登録された知り合いに有害なメールが送信される恐れもあります。さらに、乗っ取られたアカウントを使って、銀行やECサイトのアカウントの決済情報が盗まれたり、パスワードを再設定されてしまう被害も想定されます。
流出したパスワードはリスト化され闇市場などで売買されています。悪意の第三者にそのリストが渡ってしまうと恐ろしい事態になりかねません。さまざまなサイトやサービスに対して、手当たり次第に不正ログインを試み、サイトやサービスのアカウントと一致してしまうと、たちまち被害者になってしまいます。
認証規格団体のFIDO(ファイド)にGoogleも加盟
この他に認証をめぐる動きとしては、パスワードを利用せずにセキュリティと利便性と両立させた認証規格「FIDO(Fast IDentity Online)」が注目されています。FIDOは本人確認とサーバ認証を分けており、ネットワークに認証情報を流さず、サーバにも保管しないので、パスワードが漏洩するリスクがありません。本人認証情報が格納されているのは、セキュリティーキーやスマートフォンといったデバイスの中にあります。セキュリティーキーなどで認証を行うと、PKI(公開鍵基盤)により秘密鍵で暗号化した署名をサーバーに送信し、公開鍵で署名を検証することで認証される仕組みになっています。
FIDOアライアンスは2012年に誕生した標準規格策定団体で、TPM(Trusted Platform Module=セキュリティチップ)やNFC(Near Field Communication=近距離通信)、生体認証技術などを活用して、パスワードに代わる新しい認証技術「FIDO」を標準規格化しています。FIDOアライアンスにはGoogle、Microsoft、Yahoo、LINEといったIT業界をリードする企業が名を連ね、加盟企業は年々増加し続けています。
・FIDOセキュリティキー
*「Google」はGoogle Inc.の登録商標です。
**その他の商品名、会社名、団体名は、各社の商標または登録商標です。
関連記事
●Microsoft Office 365の多要素認証(MFA)について
●Authenticatorアプリの代替機を使った多要素認証(MFA)
●Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて