SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

間違いだらけのサイバー攻撃対策

ICカードがサイバー攻撃への対策となる理由--Windows環境でのICカードの実装と準備の進め方

■第8回


 前回の記事では、電子証明書に焦点を当ててその枠組みについて解説しました。今回は電子証明書とセットで威力を発揮する「ICカード」について解説を進めます。ICカードは、現在ではクレジットカードやETCのカード、また非接触式ICカードによる定期券などで大変普及していますが、情報セキュリティ強化のためのICカードはまだ一部の企業でしか活用されていません。コストがかかることも理由ですが、セキュリティデバイスという位置づけのせいか、わかりやすい情報があまりないことも理由のひとつかもしれません。こうした状況を少しでも解消できるように、特にWindows環境においてどのようにICカードを実装し、準備すればよいかを解説します。

サイバー攻撃対策としてのICカードの意義

 実装のための条件を解説する前に、そもそもなぜICカードがサイバー攻撃への対策のひとつになるのかを共有させていただきたいと思います。

 昨今のサイバー攻撃によるセキュリティインシデントの多くが、ユーザーIDとパスワードを不正に取得して、それを利用して次の攻撃、次の攻撃へと仕掛けていく傾向があります。

 最近ではリスト型攻撃と言われる攻撃がその例になります。セキュリティ管理レベルが低いWebサイトから流出したユーザーIDとパスワードを利用すると、まったく違う別のサイトでも認証が成功してしまうというものです。ユーザーが多数のサイトのユーザーIDとパスワードを覚えきれないために、同じユーザーIDとパスワードを使い回ししていることが背景となります。

 これ以外にも、キーロガーを利用してユーザーIDとパスワードが盗まれてしまうということがあります。キーロガーが不正にインストールされて、キーボードに入力する文字列が攻撃者側に筒抜けになってしまうわけです。

 すぐにできる対策としては、

  • 定期的にパスワードを変える
  • サイトごとに個別のパスワードを設定する

 などですが、前述のキーロガーなどの攻撃に対抗するには、パスワードの安全性を強化するだけでは有効な対策とは言えなくなります。

 そこで、2要素認証があらためて注目されています。2要素認証は多要素認証とも言われますが、一般的には、本人しか知らない記憶(例:パスワードや暗証番号)と本人しか持たない物(本連載ではICカード)の2つがそろって認証されるものです。

 では、ICカードを認証に利用するためには、どのような条件や準備が必要になるのか確認していきます。

次のページ
ICカードを認証に利用するための条件

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
間違いだらけのサイバー攻撃対策連載記事一覧

もっと読む

この記事の著者

香山 哲司(カヤマ サトシ)

ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やス...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5847 2014/05/26 22:03

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング