Enterprise

企業

2015.09.25 投稿者: ブログチーム

“ID+パスワード認証”が抱える  根本的なセキュリティーリスク(2)

“ID+パスワード認証”が抱える  根本的なセキュリティーリスク(2)

 “模型メーカーのタミヤは7月21日、Webサイトへの不正アクセスによって最大10万人強の個人情報が漏えいした可能性があると発表した。同日時点で顧客の被害報告はないとしている。

 同社によると、情報漏えいの可能性は同月6日にJPCERT コーディネーションセンターからの通報で発覚、IT管理部門とWebサイト製作委託会社と調査を開始し、10日にWebサービスを停止した。セキュリティ専門機関も交えた調査で不正アクセスの痕跡と、Webサイト利用者の個人情報漏えいの可能性が認められたという。

 漏えいした可能性のある情報は以下の通り。なお、クレジットカードや決済情報の漏えいはないとしている。”

 “同社では「タミヤショップオンライン」「TRFサイト」登録者に対し、同じパスワードを他のWebサイトなどで利用している場合は、変更するよう呼び掛けている。現在は対策を講じており、第三者機関の安全確認を受けから各種サービスを再開する予定だと説明している。”

(2015年07月21日 IT Media 「タミヤに不正アクセス、最大10万人強の個人情報漏えいか」)

「パスワードリスト攻撃」の成功率は高く、JPCERT/CCによると、これによる被害例として、不正ログインの成功率は最大で9.98%という数値も出ています。

 2013年以降、この攻撃により国内の大手ポータルサイト、オンラインショッピングサイトなどが次々に攻撃を受け、サイト利用者のアカウントを用いた不正なログインが発生する被害が報道されています。被害が報道されてしまうと、セキュリティーホールもなく正規のユーザー情報でアクセスされたにもかかわらず、非のないサービス提供側も悪い評判がたってしまうという理不尽なことも起こります。

 さて、もしも、パスワードリスト攻撃にあい、企業のネットワークに不正アクセスされてしまったらどうでしょうか? 顧客の個人情報や、機密情報が盗み出されてしまったら?

 もはや、パスワードによるユーザー認証の仕組みそのものを見直されなければいけない時代です。いくつかの施策は出ていますが、管理者やユーザーの利便性を損なうことなくセキュリティー強化することも課題でしょう。

 アライドテレシスが提唱する「Secure Enterprise SDN(SES)」の特徴であるアプリケーションとの連携により、人の手を煩わさずに細かな通信フロー制御を実現しています。例えば、社員が業務システムを利用する際には、ユーザー認証(IDやパスワードによるログインなど)よりもさらに手前の通信フローで制御され、業務上不要なエリアへは辿りつけません。

 各サイトがSESを導入することで、ID/パスワード情報が堅固に守られ、他のサイトに迷惑をかけることも激減するでしょう。

 個人の情報セキュリティーリテラシーだけに依存せず、守るべき情報はシステム側でしっかり守る。それがアライドテレシスの提言です。

 

 

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top