業務アプリケーションへの不正ログイン被害が急増

近年、クラウドサービスを始めとする業務アプリケーションへの不正ログイン被害が急増しています。

会社という箱の中にいれば”正しいユーザー”であるという境界防御の前提がなくなる中、テレワーク時代の「認証」は従来とは考え方を変える必要があります。

SMSワンタイムの弱点を突いたフィッシング攻撃が増加

インターネットで利用される認証方式に “SMSワンタイム” がありますが、昨今、この弱点を突いたフィッシング攻撃の被害が増加しており、NIST※の認証に関するガイドラインでも非推奨となっています。 また、SMSワンタイムは利用者本人の確認手段であり、日本の企業・組織でニーズが非常に高い 「利用端末の特定」 に対応できない 点にも注意が必要です。

MFAの中でも優位性の高い「デジタル証明書」

クライアント証明書を用いたPKI認証は、利用端末が特定できる上、フィッシングによる認証情報窃取や多要素認証突破攻撃を防止できるメリットがあります。

証明書を利用してクライアントとサーバーを相互認証するこの方式は、暗号化通信を確立する際にクライアント証明書をチェックすることとなり、正規の証明書でなければ通信が確立されません。他の認証手法とは異なり、正規の証明書を持たない攻撃者はログイン画面にたどり着けず、パスワードリスト攻撃対策になるだけでなく、脆弱性攻撃の成立も困難なものとします。

生産性向上に欠かせない業務アプリ。ID・パスワードだけで大丈夫ですか。

企業の大切な情報を管理する業務システムを、IDとパスワードだけで利用していたら、第三者にとって、乗っ取りは簡単です。また、会社が許可していない端末が繋がってしまう環境では、情報漏えいリスクは大きく高まります。OneGateは、パスワードの脆弱性を解決するデジタル証明書で、利用者と利用端末を特定し、企業の情報を不正アクセスから守ります。