二段階認証導入支援システムの提供を開始

＜本サービス開始の背景＞
スマートデバイスやWebサービスの普及に伴い、IT利用者は多数のパスワードを記憶する必要に迫られています。パスワードは推測できない複雑なものを要求されており、大文字、小文字、数字、記号を組み合わせ、かつ文字数は多いほど良いとされています。

かつては、ID・パスワードを付箋紙に記入してパソコンのモニターの周囲に貼り付けることにより、限定的かつ合理的な安全性を伴って、「適切に」管理されてきました。ところが、企業における「セキュリティ意識」の高まりによってこのような習慣が見直されました。ところが、管理すべきIDの増加やパスワードの複雑化に伴い、多くのユーザーは個別のID情報を管理することをあきらめ、共通のID・パスワードを「使い回し」するようになりました。これに加えて、ある時期から、ユーザーIDにEメールアドレスを流用する慣習が一般化したため、個人とID情報が簡単に関連づけられるようになりました。

当然の帰結として、システム管理者や外部からの攻撃者を通じて、ID情報は広く漏洩・流通することとなりました。本年に発生したID情報漏洩と、それを利用したパスワードリスト攻撃は、既に数百万IDを超えており（当社調べ）、この攻撃は日本国内に対しても大規模に実施されています。攻撃の方法も、より標的を絞った高度なものが確認されています。

このような事態に鑑みれば、IDとパスワードで重要な情報を保護したり、アクセス制御を行ったりすることは、既に不可能なレベルに達したと言わざるを得ません。つまり、今後においてもID・パスワード認証に基づくサービスを提供する企業は、顧客の安全を軽視していると見做されることを甘受しなければなりません。もし、顧客の安全を重視するのであれば、ID・パスワード認証を即座にアップグレードし、実効性のある認証システムを導入する必要があります。

一方、認証システムの導入にあたっては、当該システムについて専門的な知見に基づき、十分な論理的強度を確保する必要があります。たとえば、一部の金融機関においては、「セキュリティ対策」と称して、論理的強度や合理性を欠いた認証システムの導入を進めている事例などが確認されており、結果として多くの利用者が危険に晒されています。企業においては、このような失態を演ずることのないよう、専門的な知見に基づいたセキュリティ対策の実行が期待されます。

以上の背景に基づき、当社ではID・パスワード流用や各種の攻撃に対応する実効的な認証システムの導入を可能とする本サービスの提供を開始しました。

＜本サービスの概要＞
本サービスは、顧客の情報システムの特性に適合することを確認した上で、追加のワンタイム認証要素を追加し、必要に応じて承認手順を追加するためのサービスです。本サービスはAPIを通じたウェブサービスとして提供されます。提供料金は月額制を基本とし、高額な初期投資を必要としないため、あらゆるサイズの企業において導入頂くことが可能です。

サービスの詳細は以下をご覧ください。
リンク

＜本件に関する問い合わせ先＞
株式会社セキュアシンク
ITセキュリティ事業部（SSLabs.）
電話：03-4588-8323
メール：sslabs-2sv@securethink.co.jp