logo

内部不正対策の限界と課題から学ぶ--手のひら静脈認証が強固かつ便利なセキュリティを実現する理由

CNET Japan Ad Special2015年03月06日 18時35分
  • このエントリーをはてなブックマークに追加

 近年、企業や自治体の内部関係者による情報漏えい事件が相次いでいる。情報漏えいの原因は、外部からのサイバー攻撃によるものよりも、実は内部犯行によるもののほうが大きいという見方もある。多くの企業にとって内部犯行による情報漏えい対策は喫緊の経営課題だが、その対策に迫られている企業も少なくないだろう。

 現在、内部不正対策として利用されているのは、二要素認証や、アクセス制御によるセキュリティ・ポリシーの徹底である。しかし、現実にはIDやパスワードの管理を現場任せにしていることが多い。その結果、他者のIDやパスワードを部門内で共有したり、IT部門が「社内システムにアクセスしているのは、本当に権限を持つユーザーなのか」を把握しきれていなかったりといった問題を抱えてしまう。

不正行為への気持ちを「低減させる」

 内部不正を抑止する有効な手段は、「情報にアクセスできる関係者の、不正行為に対する気持ちを低下させる」ことにあるという。興味深い調査結果として、2012年7月に情報処理推進機構(IPA)が公開した「組織内部者の不正行為によるインシデント調査」がある。それによれば、一般社員が「内部不正への気持ちが低下する理由」としていちばん多く挙げたのが、「社内システムの操作の証拠が残ること」(54.2%)だった。つまり、操作者を厳格に特定できる認証方式であれば、利用者のセキュリティに対する意識は向上し、内部不正に対する大きな抑止力となるのだ。

 ここで、現在の一般的な認証方式の課題を考えてみよう。最も多用されているパスワード認証やIDカードなどによる二要素認証による認証方式は、現実のところなりすましへの根本的な対策が難しい。「だれがログインしているのか」を確実に特定できず、強固な認証セキュリティであるとは言いがたい。また、コストや利便性の観点からも、IT部門のパスワード/IDカード運用管理工数が増加したり、システムごとに異なるパスワードを使わなければならなかったりと課題は多い。これらの認証方式には限界があると認識すべきだろう。

 そのような状況で注目されているのが、人間の生体的特徴を利用し、高精度で個人を識別できる生体認証基盤である。平たく言えば、「本人しか持ち得ない情報」でユーザーを特定する方法だ。中でも"ほぼ偽造できない"と言われる手のひらの静脈を利用する「手のひら静脈認証」は、内部不正抑止対策の“最終解”として、多くの企業/自治体で活用されている。

-PR-企画特集