http://www.ipa.go.jp/security/vuln/documents/10threats2009.pdf
利用者への脅威の4位に「ユーザIDとパスワードの使い回しによる危険性」が挙げられていますが、どちらかというとサービスプロバイダ側の脆弱性に起因してユーザIDとパスワードが漏洩すると、同じユーザが他のサービスで同じパスワードを使っている可能性が高いから不正利用されちゃいますよ、という話でした。
このあたりを含めてアイデンティティプロバイダを切り離しておく、というのもサービスプロバイダにとって有効な考え方かも知れません。
どちらかというとアイデンティティ情報をセキュアに管理する、とか認証機能を強固にする、といったことはサービスプロバイダにとっては本来注力すべき領域ではないはずですし。
後は、サービスプロバイダが本当の意味でアイデンティティプロバイダを「信頼する」ためのフレームワーク(技術的にも、ビジネス上も)が必要になるんだと思います。漏洩時の責任分解とか賠償関連の取り決めとか。
そのあたりOpenIDのPAPEやLibertyのIAFとかの技術仕様に加えてちゃんと決めないと、本当の意味で普及は難しいんだと思います。
しかしこの情報セキュリティ白書、毎年の10大脅威を発表してきていますが、年々技術的要素が薄くなってきています。それだけ手口がソーシャルなものも含めて複雑化してきているんでしょうね。
見直してみると2004年はプロトコルの脆弱性の話やIEの脆弱性の話などで埋め尽くされてました。。。
0 件のコメント:
コメントを投稿