前回の記事では、電子証明書に焦点を当ててその枠組みについて解説しました。今回は電子証明書とセットで威力を発揮する「ICカード」について解説を進めます。ICカードは、現在ではクレジットカードやETCのカード、また非接触式ICカードによる定期券などで大変普及していますが、情報セキュリティ強化のためのICカードはまだ一部の企業でしか活用されていません。コストがかかることも理由ですが、セキュリティデバイスという位置づけのせいか、わかりやすい情報があまりないことも理由のひとつかもしれません。こうした状況を少しでも解消できるように、特にWindows環境においてどのようにICカードを実装し、準備すればよいかを解説します。
サイバー攻撃対策としてのICカードの意義
実装のための条件を解説する前に、そもそもなぜICカードがサイバー攻撃への対策のひとつになるのかを共有させていただきたいと思います。
昨今のサイバー攻撃によるセキュリティインシデントの多くが、ユーザーIDとパスワードを不正に取得して、それを利用して次の攻撃、次の攻撃へと仕掛けていく傾向があります。
最近ではリスト型攻撃と言われる攻撃がその例になります。セキュリティ管理レベルが低いWebサイトから流出したユーザーIDとパスワードを利用すると、まったく違う別のサイトでも認証が成功してしまうというものです。ユーザーが多数のサイトのユーザーIDとパスワードを覚えきれないために、同じユーザーIDとパスワードを使い回ししていることが背景となります。
これ以外にも、キーロガーを利用してユーザーIDとパスワードが盗まれてしまうということがあります。キーロガーが不正にインストールされて、キーボードに入力する文字列が攻撃者側に筒抜けになってしまうわけです。
すぐにできる対策としては、
- 定期的にパスワードを変える
- サイトごとに個別のパスワードを設定する
などですが、前述のキーロガーなどの攻撃に対抗するには、パスワードの安全性を強化するだけでは有効な対策とは言えなくなります。
そこで、2要素認証があらためて注目されています。2要素認証は多要素認証とも言われますが、一般的には、本人しか知らない記憶(例:パスワードや暗証番号)と本人しか持たない物(本連載ではICカード)の2つがそろって認証されるものです。
では、ICカードを認証に利用するためには、どのような条件や準備が必要になるのか確認していきます。
この記事は参考になりましたか?
- 間違いだらけのサイバー攻撃対策連載記事一覧
-
- 間違いだらけのサイバー攻撃対策 まとめ
- ICカードがサイバー攻撃への対策となる理由--Windows環境でのICカードの実装と準備...
- PKIを利用すれば安全という神話の終焉--危殆化するアルゴリズムと運用面の問題点
- この記事の著者
-
香山 哲司(カヤマ サトシ)
ジーブレイン株式会社 コンサルティング事業部 シニアコンサルタント 2001年、マイクロソフト株式会社(現、日本マイクロソフト株式会社)に入社、エンタープライズサービス部門に所属。主にインフラ領域のITコンサルティングに従事。電力・ガス会社、また政令指定都市向けの大規模環境における認証基盤やス...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア