サイバー攻撃対策としてのICカードの意義
実装のための条件を解説する前に、そもそもなぜICカードがサイバー攻撃への対策のひとつになるのかを共有させていただきたいと思います。
昨今のサイバー攻撃によるセキュリティインシデントの多くが、ユーザーIDとパスワードを不正に取得して、それを利用して次の攻撃、次の攻撃へと仕掛けていく傾向があります。
最近ではリスト型攻撃と言われる攻撃がその例になります。セキュリティ管理レベルが低いWebサイトから流出したユーザーIDとパスワードを利用すると、まったく違う別のサイトでも認証が成功してしまうというものです。ユーザーが多数のサイトのユーザーIDとパスワードを覚えきれないために、同じユーザーIDとパスワードを使い回ししていることが背景となります。
これ以外にも、キーロガーを利用してユーザーIDとパスワードが盗まれてしまうということがあります。キーロガーが不正にインストールされて、キーボードに入力する文字列が攻撃者側に筒抜けになってしまうわけです。
すぐにできる対策としては、
- 定期的にパスワードを変える
- サイトごとに個別のパスワードを設定する
などですが、前述のキーロガーなどの攻撃に対抗するには、パスワードの安全性を強化するだけでは有効な対策とは言えなくなります。
そこで、2要素認証があらためて注目されています。2要素認証は多要素認証とも言われますが、一般的には、本人しか知らない記憶(例:パスワードや暗証番号)と本人しか持たない物(本連載ではICカード)の2つがそろって認証されるものです。
では、ICカードを認証に利用するためには、どのような条件や準備が必要になるのか確認していきます。
