ICカードがサイバー攻撃への対策となる理由--Windows環境でのICカードの実装と準備の進め方

EnterpriseZine / 2014年5月26日 7時0分

 前回の記事では、電子証明書に焦点を当ててその枠組みについて解説しました。今回は電子証明書とセットで威力を発揮する「ICカード」について解説を進めます。ICカードは、現在ではクレジットカードやETCのカード、また非接触式ICカードによる定期券などで大変普及していますが、情報セキュリティ強化のためのICカードはまだ一部の企業でしか活用されていません。コストがかかることも理由ですが、セキュリティデバイスという位置づけのせいか、わかりやすい情報があまりないことも理由のひとつかもしれません。こうした状況を少しでも解消できるように、特にWindows環境においてどのようにICカードを実装し、準備すればよいかを解説します。

■サイバー攻撃対策としてのICカードの意義

 実装のための条件を解説する前に、そもそもなぜICカードがサイバー攻撃への対策のひとつになるのかを共有させていただきたいと思います。

 昨今のサイバー攻撃によるセキュリティインシデントの多くが、ユーザーIDとパスワードを不正に取得して、それを利用して次の攻撃、次の攻撃へと仕掛けていく傾向があります。

 最近ではリスト型攻撃と言われる攻撃がその例になります。セキュリティ管理レベルが低いWebサイトから流出したユーザーIDとパスワードを利用すると、まったく違う別のサイトでも認証が成功してしまうというものです。ユーザーが多数のサイトのユーザーIDとパスワードを覚えきれないために、同じユーザーIDとパスワードを使い回ししていることが背景となります。

 これ以外にも、キーロガーを利用してユーザーIDとパスワードが盗まれてしまうということがあります。キーロガーが不正にインストールされて、キーボードに入力する文字列が攻撃者側に筒抜けになってしまうわけです。

 すぐにできる対策としては、

定期的にパスワードを変える
サイトごとに個別のパスワードを設定する

 などですが、前述のキーロガーなどの攻撃に対抗するには、パスワードの安全性を強化するだけでは有効な対策とは言えなくなります。

 そこで、2要素認証があらためて注目されています。2要素認証は多要素認証とも言われますが、一般的には、本人しか知らない記憶(例:パスワードや暗証番号)と本人しか持たない物(本連載ではICカード)の2つがそろって認証されるものです。

 では、ICカードを認証に利用するためには、どのような条件や準備が必要になるのか確認していきます。

香山 哲司[著]

EnterpriseZine

トピックスRSS

ランキング