・管理者の多要素認証 のバックアップ(No.2)
IPAセキュリティPT評価版?
攻撃者から見たシステム管理者 †
システム管理者はアカウント管理やバックアップ、セキュリティ設定など、システム運営における重要な業務を執り行います。従って、攻撃者はシステム管理者になりすますことで、システム全体のコントロール権を奪い、重要な情報資産や個人情報を窃取します。しかも、システムやデータの破壊、改ざんも可能なことから極めて重要な情報という事ができます。
そのため、システム管理者の認証情報は、重要な情報資産や個人情報と同等以上の保護が必要です。
認証の種類 †
認証には、知識、所有、生体の3要素が使用されます。
| 状況 | 方式 | 知識 | 所有 | 生体 | 説明 |
| PC Logon | ID/Password | 〇 | × | × | |
| iPhone | Face ID | 〇 | × | 〇 | |
| 銀行ATM | 多要素 | 〇 | 〇 | 〇 | 生体情報を加えることで高額の引き落としが可能 |
| コンビニATM | 多要素 | 〇 | 〇 | × | 引き下ろし額が限定 |