クレデンシャルの歴史

« 2. なぜ今、クレデンシャルの歴史か？

4. クレデンシャルってなに？ »

---

3. なにを目的としてまとめるのか？

フィシング詐欺や不正アクセスの背景には、利用者の認証やクレデンシャルに関する理解不足があることは否めません。もちろん、詐欺を行う側が悪いことは当然ですが、パスワードの使いまわしをしている人の割合はここ数年80％前後であり、不正アクセスを行う側に有利な状況を作り出してしまっています。

ここに挙げた2つの調査の興味深い点は、平成26年（2014年）の情報通信白書のデータと、2017年のトレンドマイクロ社のデータで調査の時期が違うもののパスワードの使いまわしをしている人の割合が双方とも80％程度ということです。情報セキュリティの教育や脅威に関する注意喚起の際にも再三再四強調されている「パスワードを使いまわさない」という基本的な対策は理解されているかに関わらず、あまり実行はされていないと言えるでしょう。危険性は理解しているものの、自分だけは大丈夫といった正常性バイアスなどもあり、実行に移している人が少ないのかもしれません。

前述の不正送金被害額の急増に関する金融庁、警察庁、JC3（一般財団法人日本サイバー犯罪対策センタ）のプレスリリース等を見ても、「不審なSMSやメールは開封しない」「SMSやメールに記載されたURLに安易にアクセスしない」「URLへアクセスする前に、正しいホームページのURLであるかを確認する」といった利用者側の対策・注意点となっています。

事業者側に関していうと、スマートフォンアプリやウェブサイトを作る際の理解不足や認識不足により、脆弱性を生み出してしまっています。さらに悪いことには、実は当事者の中にはリスクを理解している人がいた、外部の有識者などからは脆弱性は事前に指摘されていたといった報道もあります。つまり、指摘内容を正しく理解し、事業リスクとしてとらえることができなかったがために、脆弱性が放置され、早期の対策を行うことができず、結果として攻撃者からの不正アクセスを許してしまいました。

利用者、事業者の中には、前述のように、認証やクレデンシャルに関する正しい知識を持ち、問題や脆弱性に気づいている人はいます。ではなにが問題か？人や組織によって知識や理解のレベルにギャップがあることが問題です。インフルエンザ感染の対策^[2]に「手洗い・うがい」がある程度の効果があることはほとんどの人が知っていますし、実際に実行しています。メディアでの繰り返しの報道や、初等教育時からの教育により、ボトムアップが行われていて正しい知識をみんなが共通して持っています。

残念ながら、IT・情報システムにおいてはそのような状況にはなっていません。IT教育は進んでいます^[3]が、教える側の問題や制度の問題もあり思わしい状態にはなっていません。情報システム全体でもそのような状況であるので、認証やクレデンシャルにおいてはさらに酷い状況です。

そのような状況を少しでも改善することが、今回「クレデンシャルの歴史」として認証、クレデンシャルに係る情報を整理・共有する目的です。皆様が同じ認識・同じ理解をする助けに少しでもなればと思っています。結果として少しでも不正アクセスやフィッシング詐欺などの被害に会う人が少なくってくれたらこんなうれしいことはありません。広く読んでいただくために、できるだけ平易な用語を心がけ、ほかの資料の参照せずとも読み進んでいけるように記載しています。デジタルアイデンティや情報セキュリティの詳しい方からみると、内容が不明確であったり、極端であったりする場合もあるかと思いますが、上記の目的のためとご理解頂けると幸いです。

攻撃者は攻撃できる脆弱性が存在する弱いシステム・弱い利用者・弱い事業者を狙います。大切なのは、コロナウイルス感染の対策と同じように、みんなが共通して正しい知識を持ち、対策を実行していくことです。一部の人が知識を得るのでは意味がありません。是非まわりの方にも共有してあげてください。

 

---

[2] ：

インフルエンザの感染を防ぐポイント　「手洗い」「マスク着用」「咳（せき）エチケット」 | 暮らしに役立つ情報 | 政府広報オンライン　
https://www.gov-online.go.jp/useful/article/200909/6.html

[3]：

安全なパスワード管理｜社員・職員全般の情報セキュリティ対策｜企業・組織の対策｜国民のための情報セキュリティサイト　
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

---

　

« 2. なぜ今、クレデンシャルの歴史か？

4. クレデンシャルってなに？ »