2016/09/22

ハッカーの視点で銀行のセキュリティを考える

ATM,銀行

2016 年 9 月 22 日 Marc Laliberte 著

The Next Web が木曜日の朝に、オランダを拠点とする金融機関、ABN AMRO が採用しているセキュリティ戦略を説明する、「How to think like a hacker(ハッカーの視点で考える)」というタイトルの記事を掲載しました。ABN AMRO のセキュリティ部門が 4 つのセキュリティ戦略を説明していますが、私自身の意見を交えながら、この記事の要点をご紹介することにします。

この記事で提案されている第 1 の戦略では、ユーザーのセキュリティトレーニングは価値ある投資ではあるが、保護がほんの少し強化される程度の効果しかないと説明しています。ユーザートレーニングが完璧でないことには同意しますが、決して軽視すべきではないというのが私の考えです。記事では、フィッシングの危険性を強調するために、フィッシングメールの受信者の 23% がメールを実際に開いてしまったという報告を紹介していますが、カーネギーメロン大学による数年前からの調査(PDFファイル)で、意識向上トレーニングが実際にフィッシング攻撃の被害を軽減するのに役立っていることがわかっています。「クリックするな」と力説することだけがユーザートレーニングの目的ではありません。認識を広めることも、同程度に重要です。IT 部門による技術的な制御だけでは完璧ではなく、攻撃防止にあたってはユーザーが重要な役割を果たすことをユーザー自身が理解する必要があります。多くの組織で見られる、「セキュリティは IT 部門の問題であって自分の問題ではない」という意識を改めることが重要で、ユーザートレーニングは、そのための最良の方法です。

第 2 の「強固な要塞を築く必要はない」という戦略については、戦略そのものには同意しますが、提示されている例に私は疑問を感じました。この記事の著者は、潜在的なセキュリティ脆弱性のないアプリケーションを構築するのは不可能だと認めており、これは事実だと思います。しかしながら、ABN AMRO がユーザビリティ向上のために多要素認証を廃止したというのは、懸命なやり方ではなかったと思います。認証を必要とするサービスごとに一意の強力なパスワードを生成しているというユーザーは少数派です。したがって、容易に推測できるパスワードを使ったり、パスワードを再利用したりすることは、今でも極めて一般的です。

多要素認証には、強力なパスワードだけに頼らなくてもすみ、有効なユーザー名とパスワードが流出してしまった場合であっても攻撃を極めて困難にするという、大きな利点があります。多要素認証の導入が必ずしも面倒であるわけではありません。Duo Security などのほとんどの認証セキュリティプロバイダがモバイルアプリを提供しており、アカウントのログイン時に認証要求を簡単にモバイルデバイスに送信することができます。他の銀行の例を挙げると、たとえば、米国のほとんどの主要銀行は未認証のコンピュータからのアカウント認証時に、テキストや電子メールで送信されるチャレンジコードによる二段階の認証方法を導入するようになっています。人間がすべてのアプリケーションにとっての最大のセキュリティリスクであることを認めているのに、そのリスクに対する最も簡単な対策の 1 つである多要素認証を廃止してしまうのは、相反する不要なステップであるように思えます。

記事で紹介されている第 3 の戦略には、私も完全に同意します。ABN AMRO は、外部のセキュリティコンサルタントを雇って会社やアプリケーションをテストすることを推奨しています。攻撃対象になる前に外部の誰かにアプリケーションの不備を見つけてもらうことで、金銭的な被害や評判の低下を回避することができます。四半期または年に 1 回のセキュリティ監査は、専任の社内セキュリティチームを編成する余裕のない組織にとっても、とても良い選択肢です。少なくとも、自社アプリケーションの脆弱性を報告してくれる外部の研究者を受け入れる姿勢が必要でしょう。

記事の最後のセクションでは、研究開発によってハッカーよりも常に先行することの重要性を強調し、今後は人工知能ツールによるサイバーセキュリティ対策へと移行するだろうとしています。多くの企業や組織には十分な予算がなく、サイバーセキュリティの研究開発に時間を割こうという考えすらもないのが現実でしょう。そこで最後に私からの提案として、最新のセキュリティ動向に常に目を向け、自分の会社や組織にそれがどのように影響するのかを考える機会を設けることをお勧めします。それは、最新の脅威と可能な対策を理解することがセキュリティ確立の第一歩となるからです。– Marc Laliberte