近年、企業や自治体の内部関係者による情報漏えい事件が相次いでいる。情報漏えいの原因は、外部からのサイバー攻撃によるものよりも、実は内部犯行によるもののほうが大きいという見方もある。多くの企業にとって内部犯行による情報漏えい対策は喫緊の経営課題だが、その対策に迫られている企業も少なくないだろう。
現在、内部不正対策として利用されているのは、二要素認証や、アクセス制御によるセキュリティ・ポリシーの徹底である。しかし、現実にはIDやパスワードの管理を現場任せにしていることが多い。その結果、他者のIDやパスワードを部門内で共有したり、IT部門が「社内システムにアクセスしているのは、本当に権限を持つユーザーなのか」を把握しきれていなかったりといった問題を抱えてしまう。
内部不正を抑止する有効な手段は、「情報にアクセスできる関係者の、不正行為に対する気持ちを低下させる」ことにあるという。興味深い調査結果として、2012年7月に情報処理推進機構(IPA)が公開した「組織内部者の不正行為によるインシデント調査」がある。それによれば、一般社員が「内部不正への気持ちが低下する理由」としていちばん多く挙げたのが、「社内システムの操作の証拠が残ること」(54.2%)だった。つまり、操作者を厳格に特定できる認証方式であれば、利用者のセキュリティに対する意識は向上し、内部不正に対する大きな抑止力となるのだ。
ここで、現在の一般的な認証方式の課題を考えてみよう。最も多用されているパスワード認証やIDカードなどによる二要素認証による認証方式は、現実のところなりすましへの根本的な対策が難しい。「だれがログインしているのか」を確実に特定できず、強固な認証セキュリティであるとは言いがたい。また、コストや利便性の観点からも、IT部門のパスワード/IDカード運用管理工数が増加したり、システムごとに異なるパスワードを使わなければならなかったりと課題は多い。これらの認証方式には限界があると認識すべきだろう。
そのような状況で注目されているのが、人間の生体的特徴を利用し、高精度で個人を識別できる生体認証基盤である。平たく言えば、「本人しか持ち得ない情報」でユーザーを特定する方法だ。中でも"ほぼ偽造できない"と言われる手のひらの静脈を利用する「手のひら静脈認証」は、内部不正抑止対策の“最終解”として、多くの企業/自治体で活用されている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」