2025年に入り、資格情報の盗難は160%急増し、データ侵害の5件に1件の原因となっています。攻撃者はAIを活用した手口で従来の防御を突破しています。
セキュリティチームが直面する課題は、単にIDを確認するだけでなく、正規ユーザーに余計な負担をかけずに安全に確認する方法へと変化しています。脆弱なオンボーディングプロセス、静的な資格情報への過度な依存、認証ポリシーの不統一といった問題が、攻撃者に付け入る隙を与えています。
ID確認の安全性を最大限に高めることは、現代のサイバーレジリエンスの中核を担う重要な取り組みです。ここでは、組織がID確認を強化し、ネットワーク全体でより堅牢なアクセス制御を構築するために活用できる5つのベストプラクティスをご紹介します。
1. 強力で疲労耐性のある多要素認証の導入
多要素認証(MFA)は、ID確認を強化してアカウント侵害のリスクを低減するうえで、依然として最も効果的な手段の一つです。パスワードだけに頼るのではなく、MFAでは異なるカテゴリーの要素を2つ以上組み合わせてIDを確認します。
- 知識情報:パスワードやPINなど
- 所持情報:スマートフォン、認証アプリ、ハードウェアセキュリティキーなど
- 生体情報:指紋や顔認証など
NISTのガイダンスによると、MFAは異なるカテゴリーの要素を組み合わせたときに最大の効果を発揮します。パスワードとハードウェアトークンや認証アプリを組み合わせることで、パスワードとセキュリティの質問のような複数の知識情報に頼る場合よりも、大幅に強固な保護が実現できます。ただし、MFAも万全ではありません。実装が不十分な場合、プロンプトボンビングやSIMスワッピングといった攻撃に対して脆弱になる可能性があります。
こうした手口に対する耐性を高めるために、組織は以下の対策を講じる必要があります。
- 傍受やフィッシング、ソーシャルエンジニアリング攻撃に対してより脆弱な、SMSやメールによるレガシーなワンタイムパスコード(OTP)からの脱却
- FIDO2セキュリティキー、パスキー、証明書ベースの認証など、フィッシング耐性を持つMFA方式の優先採用
- 状況に応じて、プッシュ型の承認プロンプトではなくローカルでOTPを生成する認証アプリの活用
2. ソーシャルエンジニアリングからサービスデスクを守る
ヘルプデスクはID・アクセス・緊急のユーザーリクエストが交わる場所であるため、ソーシャルエンジニアリング攻撃の格好の標的となっています。攻撃者は従業員になりすまし、サポートスタッフを騙してアカウントへのアクセス権を取得しようとします。多くの場合、パスワードリセットの申請を通じて行われます。
こうした攻撃はますます巧妙化しており、脅威アクターはAIによるディープフェイク音声や公開情報を駆使して、リクエストをいかにも正当であるかのように見せかけます。
Marks and Spencer(M&S)やCloroxなどいくつかの大規模な侵害事例では、サービスデスクの突破がランサムウェアの展開や横断的な侵害への第一歩となりました。M&Sの場合、この攻撃により5日間にわたって販売が停止し、1日あたり平均380万ポンドの損失が生じました。
問題の根源はセキュリティツールの不足にあるのではなく、プレッシャーのかかるサポート対応の中でID確認が一貫して行われないことにあります。
Specops Secure Service Deskのような専門ソリューションは、安全なID確認をヘルプデスクのワークフローに直接組み込み、パスワードリセットやMFA変更などの重要な操作を行う前に、ユーザーが信頼性の高い認証方法でIDを確認することを義務付けます。
これにより、サポートチームはリクエストを安全に処理でき、攻撃者がソーシャルエンジニアリングで制御を回避するリスクを低減できます。
サービスデスクにおいて特にリスクの高い操作には、Specops Verified IDが政府発行書類のスキャンと生体認証の生体活性検知をID確認ワークフローに追加します。この多層防御により、なりすまし攻撃によるアカウント乗っ取りのリスクを軽減できます。
3. デバイス信頼性をID確認の判断材料に
現代のID確認は、資格情報だけに頼ることはできません。攻撃者は有効な資格情報に加えてセッションクッキーやMFAトークンを盗み出し、認証プロセスを突破することで、ログイン情報だけでは正規ユーザーと侵害されたアカウントを見分けることが難しくなっています。
こうした背景から、認証やアクセス判断にデバイスの信頼性を取り入れる組織が増えています。
デバイストラストにより、セキュリティチームはログインを試みているユーザーが誰かだけでなく、どのデバイスからアクセスしているかも確認できるようになります。すべてのデバイスを同等に扱うのではなく、信頼されたアクセスポリシーは以下のようなシグナルを評価します。
- 企業管理デバイスか非管理デバイスか
- OSのバージョンとパッチ適用状況
- エンドポイント保護またはEDRツールの有無
- デバイス証明書または暗号識別子
- ブラウザの信頼性とセッションの整合性
- 侵害・マルウェア・ルート化・ジェイルブレイクの兆候
これらのシグナルはID確認ワークフローに有益なコンテキストを加えます。たとえば、社内ネットワーク上の認定済み準拠デバイスからのログインは、最小限の摩擦で済む場合があります。
一方、管理外のデバイスや不審なIPアドレス範囲から同じ資格情報が使用された場合は、ステップアップ認証の要求やアクセス制限、あるいはセッションの完全遮断といった対応が取られる可能性があります。
4. パスキーの活用を検討する
MFAは資格情報が侵害されるリスクを大幅に低減しますが、多くの組織はパスワードそのものからの脱却を模索しています。パスワードレス認証として広く採用されている選択肢の一つが、パスキーです。
FIDO2およびWebAuthn標準に基づくパスキーは、公開鍵暗号方式を用いてパスワードをネットワーク上で送信することなくユーザーを認証します。秘密鍵はユーザーのデバイスに安全に保存されるため、パスキーはフィッシング、資格情報の盗難、パスワードの使い回し攻撃に対して高い耐性を持ちます。
また、記憶すべきパスワードや定期的な変更が不要なため、従業員とITチームの双方にとって負担を軽減できます。
ただし、パスキーはまだパスワードの完全な代替手段とはなっていません。特にアカウント回復時やデバイスを切り替える際には、組織は引き続きパスワードをフォールバックの認証手段として利用しています。そのため、パスワードが引き続き使用される場面では、強力なパスワードポリシーとフィッシング耐性を持つMFAが依然として重要な役割を果たします。
5. 生体認証データの保護
指紋スキャン、顔認識、音声認証による生体認証は、適切に実装されればID確認を強化します。しかしパスワードと異なり、生体情報は一度漏洩しても単純にリセットすることができないため、その保護は特に重要です。
最も重要なベストプラクティスの一つは、生の生体データをできる限り保存しないことです。代わりに、暗号化された生体テンプレートを保存し、可能な限り信頼できるデバイス上でローカルに認証を行うことが推奨されます。
プライバシー保護技術は、高セキュリティ環境での活用も広がっています。準同型暗号などの技術を使えば、生体データ本体を公開することなく生体照合が行えるようになり、セキュリティとプライバシー両面のリスクを低減できます。
Specopsで本人確認ワークフローを強化する
攻撃者が資格情報を標的にし、認証ワークフローの脆弱性を突き続ける中、ID確認の制御を見直してモダナイズすることは、セキュリティチームにとって引き続き優先事項であるべきです。
ID確認ワークフローの強化をお考えであれば、Specopsがお役に立てます。
