80%以上がパスワード使いまわし、セキュリティより利便性優先 - 「脱パスワード」で安全確保を
目次を閉じる
急速なデジタル化でセキュリティが心配
この1年間で働く環境は一変し、業種や地域によってはテレワークで在宅勤務することが珍しくなくなりました。HENNGEが2021年6月に行った調査では、テレワーク実施率は77.8%あり、2020年3月の27.9%から大きく上昇しています。新型コロナウイルス感染症(COVID-19)対策で外出を自粛した消費者も、オンライン通販やオンラインバンキングへの依存度を高めたはずです。
出典:HENNGE / 企業のテレワークとパスワードに関する調査結果
デジタル化の必要性は以前から強調されていて、日本ではデジタルトランスフォーメーション(DX)が重要課題となっています。このような背景もあり、リモート化やオンライン化の利便性を体験した企業や消費者は、COVID-19パンデミックの収束後もこれまで以上にICTを活用するでしょう。
利用者が増え、利用頻度が高まると心配なのは、サイバーセキュリティです。日常的に使い慣れると、つい油断をしてフィッシングサイトにパスワードを入力してしまうかもしれません。特に、オリンピックなど注目されるイベントの開催期間は、そうした話題を悪用するフィッシング詐欺やランサムウェア攻撃が増える傾向にあります。
アカウント増も、パスワード管理は雑なまま
COVID-19パンデミックは、消費者のデジタル行動に影響を与えました。IBMが22の国と地域で実施した調査(2021年6月公表)の内容をみていきましょう。
新規アカウントを15個も作成
IBMは2021年3月、消費者がパンデミック中にどういったデジタル行動をとったかグローバルで調査しました。それによると、調査対象者がパンデミック中に新規作成した各種オンラインサービス用アカウントの数は、平均で1人あたり15個にもなったそうです。
新たに作ったアカウントについて、44%の人は削除したり無効化したりする予定はないと回答しました。つまり、パンデミックを機に増えたアカウントの多くは、そのまま残ります。
IBMは、こうしたアカウントの存在がサイバー犯罪者の攻撃対象を増やすと指摘し、サイバーセキュリティに影響する、と考えました。
82%がパスワードを使い回し
アカウントを作ろうとすると、そのたびに使用するパスワードを入力するよう求められます。複数のアカウントで同じパスワードを流用すると危険なのですが、アカウントごとに異なるパスワードを考えることは面倒です。
IBMの調査では、回答者の82%がパスワードを使い回していました。ある1種類のパスワードが複数のアカウントで使われていると、1つのパスワードが流出しただけで関連アカウントすべてが危険にさらされます。使い回しは避けるべき行為なのですが、新規アカウントの増加がパスワード作成疲れを引き起こし、パスワード管理の緩みにつながった、とIBMは分析しました。
パスワードの流出事件は、頻繁に発生しています。また、アカウント名としてメールアドレスを要求するサービスも多くあります。そのため、パンデミック中に作られた比較的新しいアカウントでも、ログインに必要な情報はすでに漏れていて、不正ログインの被害に遭うのは時間の問題かもしれません。
セキュリティより利便性?
セキュリティは大切ですが、安全確保に手間がかかるとおろそかにされがちです。
IBMがアカウント設定に費やす時間を質問したところ、59%が5分未満で済ませたい、と答えています。また、44%はアカウント情報を記憶するにとどめ、メモを取ると回答した人は32%でした。これについてIBMは、利便性がセキュリティやプライバシーより優先され、利便性のためならセキュリティ上の懸念には目をつぶる可能性が高い、とみています。
一方、回答者の約3分の2は、調査前の数週間以内に多要素認証(MFA)を使っていました。たとえば、パスワードに加えSMS(ショートメール)で正規ユーザーかどうか確認する2段階認証(2FA)のようなセキュリティ対策は、確かに多くのサービスで使われるようになりました。
パスワードに頼らないセキュリティ確保に期待
多要素認証(MFA)は、日本の企業にも普及しています。冒頭で紹介したHENNGEの調査によると、テレワーク環境から業務システムにログインする際にMFAを利用している人の割合は、過半数の54.2%ありました。
そして、MFAに対して「多要素認証の入力作業が面倒」(28.9%)、「ログインするまでに時間がかかる」(27%)という不満はあったものの、47.9%は「(不満は)特になし」と答えています。パスワードだけでは危険という認識が広まり、多少面倒でもMFAを使う、という意識があるのでしょうか。
出典:HENNGE / 企業のテレワークとパスワードに関する調査結果
パスワードは漏えいしやすく、漏れたらパスワードを変えない限り危険な状況のままです。もちろん、2FAやMFAでも、パスワードの使い回しに起因する不正ログインを完全には防げません。ただし、アカウント作成時の手間をあまり増やさずセキュリティを高められる方法として、MFAは有効です。利便性を損なわずセキュリティを強化できる、指紋などを利用する生体認証、セキュリティトークンを使うワンタイムパスワードなどが考えられます。
HENNGEは一歩進め、「脱パスワード」についても質問しています。パスワードなしでログインする何らかの仕組みを導入することに興味があるか尋ねたところ、44.4%が「興味がある」と答えました。
パスワードに頼らないセキュリティ確保への関心は、高いようです。ユーザーのアカウント名やパスワードといった情報は、そもそも漏れると想定した方がよいでしょう。そこで、アクセスに関わるすべてのものを疑い随時検証する、「ゼロトラスト」という考え方を取り入れる方法もあります。
経済活動や生活のあらゆる面で、ICTを使う時代になりました。パスワードに強く依存することなく、安全を確保できるシステムの導入が求められています。
