ニュース
ISR、「ハードウェアベースの認証」の重要性を強調 “新冷戦時代”において必須のサイバーセキュリティ対策に
2022年10月28日 11:30
株式会社インターナショナルシステムリサーチ(以下、ISR)は27日、「日本に迫り来る危険から、企業はどのように情報を守るか?~ハードウェアベースの認証がもたらす今後のサイバーセキュリティ~」をテーマにした記者説明会を開催した。今回の説明会では、激化するサイバー攻撃の脅威が日本にも迫るなか、ハードウェアベースの認証を導入することの重要性について解説した。
ISR 代表取締役のメンデス・ラウル氏は、まず、現在の世界状況について“新冷戦時代”に突入したと指摘する。「われわれはいま、“新冷戦時代”の中に入っており、隣国への侵攻やミサイル発射などの物理的な攻撃に加えて、サイバー空間での攻撃も激化・拡大している。実際に、Verizonの『2022年データ漏洩/侵害調査報告書』では、ランサムウェアが関係するデータ漏えい/侵害の件数は13%増加し、過去5年間の合計を上回る結果となった。また、システムが侵入を受けたインシデントの62%がパートナーを侵害した攻撃者によるものだった」という。
日本の状況については、「日本を取り巻く環境も例外ではない。10月17日のニュースでは、日本政府が中央省庁の端末へのサイバー攻撃を防ぐため、2023年から攻撃を検知する特定のセキュリティソフトの導入による対策強化を検討していることが報じられた。しかし、これはEDR製品による攻撃検知のみで、情報へアクセスする入り口を守る認証システムの強化は含まれていなかった。これからは、サイバー攻撃に対する入り口の守りを強化することが重要になる」としている。
入り口の守りを強化する施策として、ラウル氏が推奨するのがハードウェアベースの認証方法だ。「日本は諸外国に比べてクラウドサービスの普及が遅れており、業務における生産性が大きく低下している。また、クラウドサービスを導入している企業でも、アクセス認証にパスワードを使っているケースが多い。パスワードのみの認証は、セキュリティ強度が低いだけでなく、生産性の低下にもつながる。こうした課題を解決できるのが、ハードウェアベースの認証である」とした。
「ハードウェアベースの認証では、端末内蔵のセキュリティチップ内で、認証情報の保管や暗号化の際に用いる秘密鍵の生成・保管などを行う。現在、セキュリティチップは、ほとんどの端末に搭載されており、耐タンパー性に優れているため、内部に格納された秘密鍵や認証情報を取り出すことはできず、暗号化データを復号することはほぼ不可能といえる」と、ハードウェアベースの認証について説明した。
例えば、パスワードによる認証の場合、ネットワークを経由してサーバーと認証情報のやり取りを行うため、途中で第三者に窃取される危険性がある。万が一、情報が窃取されると、なりすましなどの被害につながる恐れもある。これに対して、ハードウェアベースの認証では、手や顔をかざすだけの簡単な動作による利便性の向上と、なりすまし対策などのセキュリティ強度アップを同時に実現できる。また、本人確認の結果のみをサーバーに伝えるため、フィッシングなどで窃取される危険性も少ないという。
デバイス証明書についても、一般的な発行方法の場合は、認証局(端末外)で生成された秘密鍵と証明書がネットワークを経由して端末にインポートされるため、途中で秘密鍵が漏えいするリスクがある。さらに、秘密鍵がセキュリティチップ内に保管されていない場合、ユーザーが端末外に取り出し、意図的に証明書を他の端末へエクスポートすることができてしまう。一方、ハードウェアベースの発行では、TPM(トラステッドプラットフォームモジュール)などの端末内蔵のセキュアエレメントで秘密鍵(鍵ペア)を生成し、認証局からは証明書のみが配布される。証明書発行後も秘密鍵を取り出すことはできないため、意図した端末へ確実に証明書をインストールすることが可能となる。
最後にラウル氏は、「“新冷戦時代”において、サイバー攻撃はさらに激化・拡大することが予想される。そのため、今後はハードウェアベースの認証が必須になると考えている。そこで当社では、マルチクラウドシングルサインオン製品『CloudGate UNO』において、ハードウェアを利用したCloudGate証明書を提供している。CloudGate証明書では、秘密鍵を端末外・通信経路に一切出さない方法で証明書の発行・インストールを行っているため、漏えいリスクを大幅に軽減できる。また、セキュアエレメントに基づいた証明書の発行によって、より安全で厳密な端末特定を実現する」と、サイバー攻撃に対する入り口の守りを強化するためにも、ハードウェアベースの認証を導入検討してほしいと訴えた。
