【後編】パスキーで本当に防げる攻撃、防げない攻撃~企業導入で守れる情報と残るリスク~
前回の記事「【前編】パスキーで本当に防げる攻撃、防げない攻撃」の後編です。前回は主要な脅威のうち3つを評価しましたが、本記事では残りの「内部不正」と「盗難・紛失」に対する有効性を解説します。さらに、パスキーを最大限に活用するためのPCのハードウェア要件にも触れ、最後に企業としての具体的な導入計画案をエグゼクティブサマリとして提案します。
内部不正の脅威
IPAの統計でも常に上位に挙がる「内部不正」は、正当な権限を持つ従業員によって行われるため、対策が難しいとされています。この脅威に対し、パスキーが持つ効果とその限界を解説します
■概要
内部不正には、①退職者や部外者による『不正な認証』と、②在籍中の従業員による『正規の認証後』の不正行為の2種類があります。パスキーは①に対して絶大な効果を発揮しますが、②は検知できません。
■悪意ある行動への効果
正当な権限をもっていない「不正な認証」の場合への効果を解説します。
① 退職者/契約終了者による不正アクセスの阻止
実際の事例として退職者がクラウドサービスのアカウントを使って情報を不正に持ち出した事件が報告されています。これは、管理者が退職後もアカウントを削除し忘れていたことが原因でした。パスキーを導入していれば、登録した端末自体を保持していない限りアクセスは不可能です。このように管理者が設定変更を忘れた場合などのヒューマンエラーが発生した場合でも、技術的にアクセスを遮断できる有効な対策といえます。
② なりすましによる不正アクセスの防止
従来のパスワード認証ではパスワードを盗めば可能でしたが、パスキーはパスワードが存在しないため、そもそも盗まれません。また、前編で評価しましたフィッシング攻撃に対しても極めて高い耐性を持つため、なりすまし防止に非常に有効です。
① ②の共通点としては、認証情報の知識だけでは認証は突破できないということです。
主な内部不正の経路 | パスキーの有効性 | ケース |
|---|---|---|
退職後の不正なりすまし | 〇 | 物理デバイスがないとアクセス不可 |
社内でのなりすまし | 〇 | パスワード搾取不可、フィッシング防止 |
正規権限の悪用 | ✖ | 認証後は対象外 |
過失・ルール違反 | ✖ | メール誤送信、不正持ち出しは対象外 |
■対策
パスキーは『正しい人が、正しい端末で認証をうける』正規の認証プロセスを完璧に守る技術です。しかし、認証を通過した正規のユーザが何をするかは関知しません。そこはDLPやログ監視などの操作管理のソリューションの役割です。
盗難・紛失の脅威
ノートPCの盗難・紛失は、情報漏洩に直結する重大なインシデントです。ここでは、悪意ある第三者に渡った場合を前提にパスキーの有効性を解説します。
■概要
PCの盗難・紛失には、パスキー連携したWindows Helloで「入口」を、BitLockerで「中身」を守るという対策が極めて重要です。
■悪意ある第三者の行動への効果
① システムを立ち上げてログインを試みる
ノートPCのシステムを立ち上げようとする場合、本人が生体認証等でログインしない限りできないので安心です。悪意のある者は、「裏口」としてPINコードによる入力突破を試みますが、Windows HelloのPINは以下の高度なセキュリティで保護されています。
複雑なPINの要求: 1234のような単純なPINは、そもそも設定が許可されていません。
ロックアウト機能: 複数回連続で入力を間違えると、ハードウェア(TPM)レベルでロックアウトがかかり、総当たり攻撃を不可能にします。
② 記憶媒体から情報を直接抜き出す
システムを起動せずに記憶媒体(HDDやSSD)をUSBで接続された別OSシステムで起動させて直接解析することや記憶媒体自体を取り出してローカルに保存された情報を搾取可能です。これは認証を経由しないため、パスキーの対象外となります。
これら脅威には、事前に、OS標準の暗号化機能であるBitLockerが極めて有効で、データを読み取ることはできません。
■有効性および対策
主な漏洩経路 | パスキーの有効性 | 補完対策 |
不正ログイン | 〇 | パスキー連携のWindows Helloで防御 |
データの抜き取り | ✖ | BitLockerによる暗号化 |
この2つの組み合わせでかなり強力な対策となります。
技術的なこれら対策以前に、そもそも盗難・紛失しないための管理ルールの徹底と従業員教育が効果的であることは最も基本的な対策です。
パスキーを効果的に活用できるノートPCの条件
全社を見渡した場合にいろいろなノートPCが使われていることが気になりました。現在、試行の組織では最新型のノートPCが利用されていましたが、パスキー導入において、利用するノートPCのハードウェア要件がないかを検討しました。
■概要
パスキーとWindows Helloの顔認証を全社展開して効果的な成果をだすためには、使用するノートPCには、IRカメラ機能(赤外線機能)とTPMチップ(セキュリティ機能を強化するチップ)が搭載されているハードウェア要件が求められます。安価な個人向けPCでは要件を満たさない場合があり、選択時には注意が必要です。
■悪意ある第三者の行動と対策
流行りのAIでのディープフェイクによって顔認証の3Dの絵をサイバー犯罪者も活用することによって、顔認証が突破される記事がありました。これによって、生成AI偽画像で「本人なりすまし」で金融の口座開設デジタル顔認証すり抜けることができたことを確認しました。この記事のように今は顔認証もAIという流行りの技術が使われると絶対とは言えないということでWindows Helloが使う顔認証の安全性を調査しました。
Windows Helloの顔認証は、単にWebカメラからの画像で判断しているのではなく、カメラはIRカメラの機能を多角的に利用しており、その特性を生かしてこれら、なりすましへの耐性が非常に高くなっています。
実際にIRカメラの機能を示します。
① 立体化どうかの区別や平面的な写真や動画を区別
② 赤外線による生体検知で生きている人の情報かの区別
なお、IRカメラの機能は、多くの法人向けノートPCには標準で搭載されていますが、一部の安価なモデルや個人向けPCには搭載されていないため、PCの調達仕様として定義しておくことが重要です。
また、この機能以外に、パスキーやPINなどの認証情報を保護するためにTPMチップは必須です。これもIRカメラ機能に追加して調達時の必要な仕様となります。
なお、社内のノートPCを調査したが、ハードウェア要件に満たないノートPCはすべてリース品であったためにすぐの変更はできないため、数年計画での入れ替えが現実的でした。
最後にセキュリティ技術は、攻撃と防御のいたちごっこです。今後もこれらが破られても、都度、対策がほどこされ、強度がましていきます。
エグゼクティブサマリ
いままでの評価から細かな技術的な評価は詳細情報として、当社での対応方針案を報告書の最初につけるエグゼクティブサマリのレベルを作成してみました。
本報告書は、次世代認証技術「パスキー」の導入効果を多角的に評価し、当社のセキュリティを抜本的に強化するための具体的な実行計画を提案するものです。
■現状の脅威とパスキーの有効性
フィッシング攻撃、内部不正、端末の盗難・紛失といった主要な脅威に対し、パスキーは認証プロセスにおいて極めて高い防御力を発揮する。しかし、認証後の操作や端末からの直接的なデータ抜き取りには限界もあり、他の対策との組み合わせが不可欠です。
■提案するセキュリティ強化ロードマップ
以下の3フェーズで対策を段階的に実行し、将来の脅威にも対応可能な、強固で柔軟なセキュリティ基盤を来期構築することを提案します
フェーズ1: 基盤強化(Foundational Security)
パスキーの全社導入推進
セキュリティ要件(IRカメラ/TPM搭載)を満たすPC標準仕様の策定
BitLockerによる全社PCの暗号化の徹底
フェーズ2: 高度な脅威検知(Advanced Threat Detection)
EDR導入による、セッションハイジャック等の巧妙な攻撃への対策
DLP導入とログ監視による、正規権限を悪用した内部不正の検知体制強化
フェーズ3: 動的なアクセス制御(Dynamic Access Control)
採用予定のEntra IDの活用による、ゼロトラスト・セキュリティ基盤の構築
Entra IDにおいて、パスキー利用管理、BitLocker回復キー管理や認証への不正行為管理実施
