アクロニスが認証管理の本質を解説
アクロニス・ジャパンは、10月に発生したルーヴル美術館での高価な宝飾品窃盗事件を受け、その背景にあるヒューマンオペレーションの脆弱性を分析し、組織での認証管理の本質を解説したブログ「世界最高峰の文化機関でさえ免れない ヒューマンオペレーションの脆弱性 -ルーヴル美術館インシデントから学ぶ認証管理の本質-」を公開した。
「一貫性と長さ」「運用で守る」ことが重要
このブログでは、アクロニスの脅威リサーチユニット(TRU)ソリューションアーキテクトの杉山吉寿氏が、今回のインシデントを通じて、従来のパスワード管理の常識を覆すNISTの最新パスワード基準や、組織での実効的な対策を解説している。
ルーヴル美術館で高価な宝飾品が盗まれた事件の背景には、驚くべきセキュリティの脆弱性が隠されていたという。事件後の調査で明らかになったのは、この問題が10年以上も前から指摘され続けていたにも関わらず、根本的な対策が講じられていなかったという事実。最も驚くべきは、2025年現在でも、サポートが2015年に終了したWindows Server 2003を搭載したマシンでThalesのセキュリティシステムが稼働し続けていたこと。これは、セキュリティホールが10年以上開いたままの状態で、世界最高峰の美術館が運営されていたことを意味する。
さらに、日本の医療機関で発生した委託先経由の情報流出事例として、近畿大学病院(2022年)、東京都立病院機構(2025年)、阪急性期・総合医療センター(2022年10月)の3つの事例を取り上げ、日本企業でも認証管理の課題が浮き彫りになっている点を考察している。これらの事例に共通するのは、「委託先管理の甘さ」「共通認証情報の使い回し」「特権アクセス管理の不備」。ルーヴル美術館と同じく、基本的なセキュリティ原則が軽視された結果、組織全体が危険にさらされている。
特に、ルーヴル美術館の事例は、世界最高峰の機関であっても基本的なセキュリティ原則を軽視すれば深刻な脆弱性を抱えることを明確に示した。
また、NISTの最新ガイドライン SP 800-63B(2025年8月版)についても解説。このガイドラインは、従来のパスワード管理に関する常識を根本から覆しており、「シングルファクター認証(パスワードのみ): 15文字以上必須」「多要素認証の一要素として使用: 8文字以上必須」「複雑性ルール(大文字・小文字・数字・記号の混在)の禁止」「定期的なパスワード変更の禁止」「既知の漏えいパスワードとの照合義務化」「パスワードヒントや秘密の質問の禁止」などの基準を明確に示している。
特に注目すべきは、「複雑性ルールの禁止」。従来、多くの組織で「大文字・小文字・数字・記号を含む8文字以上」というルールが採用されてきたが、NISTはこれを明確に否定している。
アクロニスでは、この教訓から学ぶべきポイントとして、(1)技術と運用の両輪を回すこと、(2)人間中心設計のパスワード、(3)継続的な改善プロセス、(4)アクロニスが提供する解決策--の4点を挙げている。
今回の事例は、パスワードの「複雑さ」ではなく「一貫性と長さ」、そして「運用で守る」ことの重要性を示している。多要素認証(MFA)や特権アクセス管理(PAM)、委託先認証の統制、監視システムのネットワーク分離などを徹底することで、文化資産であれ医療インフラであれ、“偶然のミス”を“重大な侵害”にしない環境を作ることができるとしている
