2015年3月27日 10:01
セキュリティで考える法人PCの選び方 (2) 端末だけでない、アプリケーションまで視野に入れたエンドポイントセキュリティを!
そうしたアプリケーションアクセスの認証をいかに堅牢にするかが、これからのエンドポイントセキュリティでは問われているのです」
アプリケーションの認証に関しても、業務端末へのログイン認証と同様に、セキュリティレベルを引き上げるための基本中の基本は、より長く複雑なパスワードを設定することだ。しかしながら、アプリケーションに対して、個々に異なるパスワードを設定するとなると、どうしても人間の記憶が追いつかなくなる。その結果、同じパスワードの使い回しが発生してしまうのである。こうした使い方は、近年、脅威が叫ばれているパスワードリスト型攻撃のリスクが極めて高くなってしまうことを忘れてはならない。パスワードリスト型攻撃では、1つのWebサイトから漏えいしたIDとパスワードの組み合わせを他の様々なWebアプリケーションにも適用して不正侵入を試みるという手法であるため、どれだけ長く複雑なパスワードを設定していたとしても、同じものを複数のアプリケーションに適用していた場合にはまったく効果はないのである。また、だからといって、ID、パスワードを紙に書いたりファイルに保管したりしたのでは、今度はそれらの紛失・盗難のリスクが生じる。