2.パスワードの有効期間設定
サービスを運営する事業者において、利用者のパスワードに一定の有効期間を設定し、利用者に定期的にパスワードを変更してもらうことが効果的です。これは、攻撃の予防だけでなく、このような被害の拡大防止にも一定の効果があります。 ただし、パスワードの有効期限を短くして利用者に頻繁に変更を求めすぎると、利用者が、他人に推測されやすい簡単なパスワードを設定する傾向に陥りやすいため注意を要します。
3.パスワードの履歴の保存
パスワードの定期的な変更と合わせて、パスワードの更新履歴を保存し、変更時に過去のパスワードと照合して、数世代前に使用したパスワードへの変更を認めないようにすることも効果的です。なお、数世代前のパスワードの履歴の保存においては、暗号化など適切な管理が必要となります。(ID・パスワードの適切な保管については、次の記事で紹介します。) 暗号化はパスワード全体を1つの塊として行われるため、過去のパスワードとの照合は、一部一致ではなく、全文一致で判定することを推奨します。
4.二要素認証の導入
攻撃者はID・パスワードの対をもとに攻撃を行うため、新たな認証要素を追加することでリストを無効化することができます。インターネット上のサービスの利用にあたっては、利用者が正当な権限のもとに利用していることを確認するために認証を行いますが、その認証の方式については大きく分けて以下の3種類に分けられます。
・ 対象者の知識を利用したもの(ID/パスワード、暗証番号、事前に登録した質問事項への回答など)
・ 対象者の持ち物を利用したもの(セキュリティトークン、ICカードなど)
・ 対象者の身体の特徴を利用したもの(指紋認証、静脈認証など)
一般に、認証はこれらのうちいずれか一つを利用しますが、複数の種類の認証方式を組み合わせることを「多要素認証」といいます。複数の組み合わせで対策することが有効と考えられます。
5.ID・パスワードの適切な保管
サービスを運営する事業者において、適切に利用者のID・パスワードを保管し、必要な不正アクセス対策を実施することが重要です。
・不正アクセスに対する対抗策として、Webサーバと認証サーバを分離するなどの物理的なサーバ構築を行うこと
・ID・パスワードの管理を、平文での管理を行わず、暗号化(ハッシュ化)して管理すること
・ID・パスワードを記録したファイルにパスワードを設定し、そのパスワードを暗号化して管理すること
・窃取のリスクを軽減するため、IDとパスワード、両者を紐づける対応表のそれぞれを別にファイル管理すること
・退職や部署異動の際には該当者のID・パスワードを停止し、退職後の不正なシステムの使用によるID・パスワードの流出を防ぐこと
などが考えられます。
