クラウドサービス利用時のID、パスワード管理について考える

2020/09/30
クラウドでのセキュリティ責任は全てクラウド事業者に任せられると思っていませんか?
クラウドの利用が拡大するにつれ、関連するセキュリティリスクへの懸念や実際のセキュリティ事故が増加しています。一般的にクラウド利用に際しては、クラウド事業者にセキュリティ対策は全て一任出来るようなイメージを持たれている方もいますが、セキュリティ対策の責任の一端はユーザ側であるユーザ企業が負っています。
クラウドサービス提供者とクラウドサービス利用者のセキュリティ対策の責任の一端のイメージ
そこで当コラムでは、ユーザ企業の責任範疇として見落としがちな「ID、パスワード管理」について、最近の事例も踏まえながら、そのリスクと対策について考察します。
アカウントの乗っ取り(IDとパスワードの奪取)を狙った攻撃の脅威
アカウントの乗っ取りを狙った攻撃としてパスワード総当たり攻撃やパスワードリスト攻撃等があり、近年はパスワードリスト攻撃が流行っています。
パスワードリスト攻撃とは、予め何らかの方法で入手されたIDやパスワードリストを用いてWeb上でシステムに不正アクセスを行う攻撃で、同攻撃事例として、クラウドに限らず、以下のような事故が実際に起こっています。
2019年から2020年に発生したパスワードリスト攻撃をあげています。
流通業 ( 2020年6月 ) 
不正アクセスが発生し、顧客情報最大40万件が流出した可能性。攻撃はパスワードリストを用いたものと見られ、一部の顧客についてはポイントの不正利用等も確認されている。クレジットカード情報は保持していないため、流出はないとしている。
ECサービス提供 ( 2020年6月 ) 
パスワードリスト攻撃で、約16万件の情報流出が確認されていたが、その後の調査で新たに約14万件の情報流出が確認された。
交通運輸 ( 2019年7月 ) 
WEBサイトに対してパスワードリスト攻撃が発生し、3,467件の顧客アカウントが不正ログインを受けた。氏名や住所のほか、一部アカウントではクレジットカード情報も登録されていた。交通運輸では当該Idivを遮断し、アカウントに対してはパスワードのリセットを行うよう設定して対応。
流通業 ( 2019年5月 ) 
通販サイトに対しパスワードリスト(リスト型)攻撃が発生し、顧客情報46万1,091件が流出した可能性が発生した。情報の一部には、クレジットカード情報も含まれており、二次被害が懸念されていた。(現在は対策済)
パスワードリスト攻撃への対策
パスワードリスト攻撃はクラウドに限った攻撃ではありませんが、クラウドの場合は直接インターネットにつながっている場合が多く、注意が必要です。
では、パスワードリスト攻撃を防ぐ有効な対策とは何でしょうか?
パスワードリスト攻撃はどこからか流出した「ID、パスワードのリストを利用する」という特性があるため、「パスワードを破られない対策」として、桁数の長いパスワード等の複雑なパスワードを設定しても必ずしも有効とは言えません。
#ただし、良いパスワードとして挙げられる8桁以上英数大文字小文字記号混在のパスワードはパスワード攻撃から守るために設定する事は必須です。※1
ハッカーからのパスワードリスト攻撃を防ぐ有効な対策を必要とするイメージ
有効な対策として考えられるのは、「パスワードの使い回しをしない」という事です。前述にあるようにパスワードリスト攻撃は「ID、パスワードのリストを利用する」という特定があります。つまり、3つのクラウドサービスを利用している場合、それぞれのクラウドサービスに異なったパスワードを使用していれば、例え、1つのクラウドサービスのID、パスワードが奪取されたとしても奪取されたID、パスワードを使用して不正ログインされる心配は無くなります。
しかし、良いパスワードと言われる8桁以上英数大文字小文字記号混在のパスワードをシステム毎に使い分けるのは覚えるのが難しいが現実です。よってパスワードをシステム毎に少し変化を付けて使い回しを避けるのは有効だと考えます。更に2要素認証を採用する事によってより強固な防御ができると考えられます。
ハッカーからのパスワードリスト攻撃を防ぐ有効な対策を必要とするイメージ
まとめ
パスワードリスト攻撃を防ぐ有効な対策は、クラウドを利用するユーザ側とクラウドを利用する管理者側双方の対策が必要です。
クラウドを利用するユーザ側の対策
良いパスワードを設定し、使い回さない
ID、パスワード管理、漏洩対策の実施
クラウドを利用する管理者側の対策
2要素認証導入の検討
パスワード攻撃を受けていないかチェック、強固なパスワードになっているか監査、見える化をする
例:CASBなどのツールの利用
以上のように例えクラウド利用であっても、ユーザ側にもセキュリティ対策への知見や責任が伴います。そのため、まずリスク管理としてユーザ側が適切なパスワードの設定と、ID、パスワード管理を行う事が必要になります。
具体的には、ユーザ企業での実際の運用では、社内でのセキュリティ講習等で社内でのセキュリティ対策への認知と理解を徹底すると共に、現状のセキュリティ状況の把握やポリシー策定等により、運用方針のマニュアル化と対策を推進してくことが求められます。
 良いパスワード悪いパスワード
良いパスワードとは、以下4つの要素を含むパスワードと言われています。
パスワードが長い事(8文字以上)
大文字小文字を含む事
記号を交える事
数字を入れる事
悪いパスワードとは、良い条件を満たしていないかつ、推測され易い以下のパスワードが挙げられます。
1234
qwer
誕生日
使い回し
また、利便性を無視した過度なポリシーはパスワードの強度が劣化すると言われ、これも悪いパスワードの一例として挙げる事ができます。
例えば、
毎日変更する
桁数を20桁以上にする 等
おわりに
クラウド利用に関連するセキュリティ対策についてのウェビナーも開催しております。ご興味のある方は、是非お気軽にご参加ください。