企業における生体認証の脆弱性

現代の企業において、本人認証はより大きな課題となっています。リスクが高まる中、セキュリティ管理を強化することは、逆に従業員の負荷が高くなり、レガシーシステムへの統合も困難になります。生体認証は、ユーザーエクスペリエンスにマイナスの影響を与えることなくセキュリティを強化する上で、良い選択肢の1つといえます。しかし、生体認証システム自体にも脆弱性は存在しており、リスクもあります。

01_biovulnscrop_3

ABIリサーチは最近、生体認証システムの脆弱性の概要に関するインフォグラフィックと、企業環境に関する提言を記載したホワイトペーパーを公開しました。

従来のユーザー名とパスワードによる認証方式はほとんどのビジネス現場で定着していますが、強く改善が求められています。攻撃者のパスワードに対する攻撃が巧妙化しており、デバイスやネットワーク、データへのアクセスに必要なパスワードの信頼性が低下していることが判明しています。パスワードは、ハッキングやソーシャルエンジニアリングの被害を受ける可能性があり、脆弱性の主な要因となっています。パスワードは一度セキュリティ侵害を受けると、攻撃者に数多くの弱点をさらすことになります。

単独のパスワード利用はわかりやすいのですが、十分とは言えません。ユーザーもシステム管理者も、パスワードの管理は難しいと感じています。この現状を変えることは困難です。なぜなら、大部分のビジネスプロセスはパスワードの利用を前提に構築されているほか、従業員は一般的に新しいセキュリティ対策の実践には消極的だからです。

生体認証は、しばしば限定的な方法で利用されてきました。限定的な利用が大幅に進んだ結果、ユーザー利用を推進するという課題に対応するための技術が数多く作られました。このようなステップを経てさまざまなニーズに対応した結果、非常に複雑なエコシステムが出来上がりました。しかし、あらゆる技術的な認証システムと同様に、潜在的な脆弱性が各ステップに存在することになりました。生体認証のセキュリティを強化する鍵は、技術をシンプルにし、攻撃される脆弱なポイントを減らすことかもしれません。コントロールを追加する場合、コスト面、ユーザー体験、およびリスク面を十分に認識した上で、先手を打って対応する必要があります。

リスクの低減

多要素認証は、アクセス許可を1つの方式だけに頼らないため、セキュリティ侵害のリスクを軽減することができます。攻撃者は少なくとも2つのコントロールを攻撃対象とする必要があります。認証要素を追加する多要素認証の導入のデメリットは、ユーザーエクスペリエンスに悪影響を与え、生産性と満足度が低下する可能性があることです。生体認証を多要素認証の要素の1つとして利用することは、システム全体のセキュリティを強化すると同時に、ユーザーへのストレスを軽減することができる潜在的な可能性を持っています。

ユーザーエクスペリエンス

ユーザーが意識する必要のない自動的な認証方法は、シームレスなユーザーエクスペリエンスにつながります。私たちは常に生体情報を持ち歩いています。忘れたり、紛失したり、壊れることはありません。テクノロジの発達により、就業中にユーザーの顔をトラッキングするなどますます認証プロセスが簡単になっています。ユーザーがマシンから離れるとシステムが検知して、自動でスクリーンをロックすることが可能です。反対に、ユーザーが戻ってくると、システムが顔を認識して自動的にシステムのロックを解除することができます。このような体験は、機器が安全に保たれることに加え、ユーザーにも役立ちます。

コストの管理

02_ssg_16_02_evangelistprogram_cybe誰も識別のためのセキュリティにお金をかけたくありません。しかし、企業が購入し、維持・管理し、サービスを提供する周辺機器や付属的なデバイスが大量に存在することも事実です。指紋スキャナー、カードリーダーのハードウェア、デジタルのUSBキーは人気ですが、これらの機器やケーブルを持ち歩く必要があるため、ユーザーにさらなる負担と煩雑さが伴います。デバイス自体の中に信頼性の高い認証機能を持つコンポーネントが備わっていたら、認証はうまくいくでしょうか? デバイス上のプロファイルを安全に照合することができる専用のカメラやマイク、指紋スキャナーや電子回路は、今後進むべき道かもしれません。付属的な周辺機器を利用するユーザーのニーズに合致した、セキュアで最適化されたハードウェアが登場すると、企業の全体的な所有コストを軽減できる可能性があります。

生体認証はこれらの答えとなるでしょうか?企業や組織が、より高度なセキュリティと従業員の生産性の実現、およびコスト削減の道を模索する中、生体認証は1つの答えであるといえます。

もっと詳しく知るには?サイバーセキュリティに関する詳細と最新情報については、私のTwitter(@Matt_Rosenquist)およびLinkedInをフォローしてください。


※本ページの内容は2016年3月15日更新のMcAfee Blog の抄訳です。
原文: Report Highlights Enterprise Biometric Vulnerabilities, Opportunities
著者: Matthew Rosenquist

【関連情報】