特許事務所システムで2段階認証が必要な理由

2024年12月4日 12:14

弁理士の大倉です。2007年に弁理士登録し、2014年から株式会社root ipで知財管理クラウドサービスを提供しています。仕事柄、多くの特許事務所のシステムを見てきています。その中で、セキュリティ対策の必要性を感じつつも、

といった声を耳にします。

特許事務所は、知的財産権という機密情報を扱う立場上、十分なセキュリティ対策が必要不可欠です。万が一、顧客の知的財産情報が漏洩すると、事務所の信用問題に直結します。

そのため、知財システム開発に関わる1人の弁理士として、手軽に始められて効果が高い「2段階認証」の必要性について解説します。

2段階認証とは？

通常の「ユーザID ＋パスワード」認証（以下、ID認証）の次に、もう1つの追加認証を加えるものです。ID認証ではカバーできない危険を回避するため、ID認証とは異なる認証を使用します。ID認証を1段階目として、次の認証なので「2段階認証」と呼ばれます。

よく使われる2段階認証は、専用アプリが生成する英数字列です。ID認証の後、2段階認証の入力フォームが表示され、専用アプリが生成した英数字列を入力するとシステムにログインできるといったイメージです。

他の呼び方としては「多要素認証」や「多段階認証」もあり、厳密に言うと細かい違いはありますが、追加の認証という意味では同じです。2段階に限らず、3段4段と多段対策することも可能です。

「ユーザID ＋パスワード」が漏洩している場合があるためです。漏洩の原因は様々ですが、代表的には以下のものがあります。

重要な事務所アカウントを使い回していないでしょうか？VPNアカウント、Microsoft365アカウント、Googleアカウント、Boxアカウント、その他のクラウドサービスのアカウント、完全にパスワードを分けて管理していると言えるでしょうか？

MS365、Google、Boxなど著名なサービスから情報が漏洩する可能性は低いかもしれません。それ以外の「その他クラウドサービス」は全て安全でしょうか。仮に１箇所からパスワードが漏洩すると、同じ「ユーザID ＋パスワード」のすべてのサービスにログインできてしまいます。

一般的なオフィスワークにパソコンを使っていると、外部からの攻撃（の試行）にはほぼ気付かないと思います。攻撃されていることに気づいていないので、「自分なんて攻撃されない」という誤解が生まれるのだと思います。

私は長く仕事としてシステム管理をしています。不正アクセスを検知するとシステムアラートが通知されるのですが、不正ログインの試行、脆弱性をついた攻撃は日常的に行われています（もちろん十分対策してます）。

世の中には残念ながら悪意ある人が存在し、漏洩したIDやパスワードもネット上で公開されています。漏洩したIDとパスワードを元に、総当たりで攻撃をする人が存在するということを理解してください。

「ユーザID ＋パスワード」を破られてしまっても、次の認証として不正ログインをブロックできます。

代表的な2段階認証である「専用アプリが生成する英数字列」は、生成後1分ほどの極めて短い時間しか使えない時限パスワードとなります。

仮に6桁の数字として、組み合わせは100万通りありますから、不正ログインを高い確率で防ぐことができます。

最も一般的な方法は、スマートフォンに専用の認証アプリをインストールすることです。

現実問題として、事務所から全従業員に対し専用スマホを提供することは難しいと思うので、私用スマホに認証アプリをインストールしてもらうことが一案です。

従業員の理解が必要となりますが、一般的に、認証アプリはシステムログイン用の乱数列を生成するのみで、私用スマホ内の個人データにアクセスすることはありません。参考ページへのリンクも貼っておきます。

手軽に始められて効果が高い「2段階認証」の必要性について解説しました。ユーザとしては、ログイン時に1手間増えることが面倒に思われるかもしれませんが、これは、攻撃者にとっても1手間増えることを意味します。

基本的に悪意ある攻撃者は「最も弱いところ（組織、ユーザ）」に攻撃をしてきますので、組織としてもユーザとしても、「攻撃しにくい存在である」ことが重要です。