第636号コラム:小山 覚 理事(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
題:「ニューノーマルの本人確認について」

ある事件報道に接したことで、ふとニューノーマル時代の本人確認の重要性について考えさせられた。その事件とはドコモ口座などを悪用した預貯金の引き出し事件である。

キャッシュカードや通帳を用いてきた本人確認や、ドコモ契約者の回線IDで確認する方法は、ネットが普及する前から行われており、利用者も提供者も普段から意識することはないが、本人確認方法としてとても有効な手段だった。この重要な事実がいつの間にか見過ごされたのだろうか、攻撃のハードルを下げるような方向に流れていったように思える。

つまり「既存のサービスを新たにネットを介して提供する場合」は、従前と同じレベルで本人確認ができているか検証する必要があったわけである・・・と書くと当たり前のようだが、差し迫ったリスクがない状態で、当事者意識を持って取り組むことは、意外と難しい。

この事件に触れてふと脳裏に浮かんだことがある。例えばオフィスで働いているときは、意識することなく正常にできていた業務が、リモートワーク環境で不正の温床になったりはしないか、意識的に点検すること、このことが軽視されてないか心配になった次第である。

社員が不正を行う心配もあるが、それよりも社員に成り済まして侵入した攻撃者を、早期に検知可能な対策ができているか、皆さんはご自身の組織の対策内容をご存知だろうか?

このような危機感をまず持つべき貴方は、社員がリモートアクセスする際に、多要素認証を導入していない組織の責任者である。そんな専門的なことは難しいと言われる方も、情シスの担当者に質問をして欲しい、「うちのリモートアクセスは多要素認証か?」この一言をお願いしたい。

これは私の持論なのだが、利便性とセキュリティは比例して向上させるべきで、利便性を向上させずセキュリティを強化すると、利用者の負担が増すことで、しっぺ返しを受ける。お客様の場合は苦情や解約に至り、利用者が社員の場合は不便なシステムを嫌って、シャドーITなどルールの逸脱が発生するから注意が必要だ。

逆の場合つまりセキュリティレベルはそのままに、求められるまま利便性を上げると攻撃者に隙を与えてしまう可能性がある。お客や社員は「苦情」を言ってくれるので問題に気づくことができるが。しかし攻撃者からの「ありがとう」の声が我々に届くことはない。

このコラムが、リモートワークに多要素認証導入を促進し、本当に必要なセキュリティ対策の時間稼ぎの一助となれば幸いである。

【著作権は、小山氏に属します】