ユーザーへ頻繁に再ログインを強制するのは「時代遅れ」である理由をセキュリティソフト開発企業が解説

2025年06月16日 07時00分 セキュリティ

オンラインサービスを利用していると、いつの間にかサービスからログアウトしてしまい、再ログインを求められることがあります。これはセキュリティ的に無意味であり「時代遅れである」と、VPNサービスを提供するTailscaleが指摘しました。

Frequent reauth doesn't make you more secure

https://tailscale.com/blog/frequent-reath-security

VPNサービスを提供するTailscaleは、安全なアクセスをシームレスに実現できるよう構築されていますが、「セキュリティツールがかえって邪魔になってしまうこともある」と指摘しています。その一例が、「頻繁に再ログインを求められる」というものです。これは作業を中断させ、ユーザーをいらだたせるというだけでなく、逆にセキュリティ体制を弱める可能性もあるとTailscaleは指摘しています。

セッションが切れて再びログインを求められるというケースは頻繁にあります。一昔前のパスワードの入力だけを求められていた時代はそれほど問題になりませんでしたが、多要素認証が普及したことで、アカウントへの再ログインにはより多くの手順と時間がかかるようになりました。さらに、フィッシング攻撃のひとつであり、近年増加している「多要素認証疲労攻撃」は、正当な多要素認証リクエストが増えるにつれ成功率を高めてしまうとTailscaleは指摘しています。

パスワードを頻繁に変更することはセキュリティ的に優れた対策であると、かつては誰もが信じていました。しかし、実際はその逆であることが明らかになっています。

パスワードを定期的に変更させるシステム仕様には問題がある - GIGAZINE

by Yuri Samoilov これと同様に、頻繁にログインさせることがセキュリティ対策として効果的だと誰もが信じていますが、実際にはそうではないとTailscaleは指摘。「認証が効果的であれば、認証を増やせば増やすだけ良いと考えるのは当然ですよね？ビタミン剤を1日1錠飲むのが良いのだから、20錠飲めばもっと良いはず！と考えるのは普通のことかもしれません。しかし、実際にはそうではありません」と記しています。 Tailscaleはログイン頻度が多ければセキュリティとして優れているというわけではないと指摘し、セキュリティを高めるのに重要な要素は「アクセスがどれだけ適切に管理されているか」「アカウントのポリシー変更にどれだけ迅速に対応できるか」「前回の認証以降にキーが漏えいしていないとどれだけ確信できるか」であると説明しました。

それではなぜ頻繁に再ログインを要求されるのでしょうか。その理由は「管理者は変更がすぐに反映されるかどうか確信を持てないから」とTailscaleは説明しています。特に、ユーザー認証規格SAMLの場合、アイデンティティプロバイダー(IdP)がユーザーインタラクティブなログインプロセス中にのみポリシー属性をアプリに送信するように設定されていることがあるため、新しいログインなしでは更新が不可能になってしまうという問題をはらんでいるそうです。

そもそも、ほとんどの攻撃者は、オフィスに潜んでPCの使用者が離れるのを待っているわけではありません。攻撃者は遠隔地にいるため、フィッシング攻撃が攻撃ベクトル(攻撃者がネットワークやシステムに侵入する方法)となります。管理者としての最善策は、遠隔地の攻撃者が既にパスワードを所有していると想定し、それに応じてシステムを構築することです。つまり、二要素認証がリモート攻撃に対する最も重要な防御手段となるわけです。 もちろん物理的にPCを盗み出される可能性もあります。ノートPCを盗まれた場合、大抵は画面が既にロックされています。カフェで無作為にノートPCを盗んだ泥棒は、持ち主のパスワードを知らない可能性が高いです。しかし、システムが頻繁にログインを要求する場合、攻撃者に認証情報を盗む機会を多く与えてしまうことは明らかです。Tailscaleは「これはユーザーにとって煩わしいだけでなく、セキュリティ的に致命的なものとなる可能性もあります」と指摘しました。

一方、ユーザーがPCの前を離れた際に実行されるOSによる画面ロックは、頻繁な再ログインと同じように動作するため煩わしいと感じる可能性がありますが、「画面がロックされていれば他のすべてのセッションも安全になるため積極的に導入すべき」とTailscaleは指摘しています。 一部のウェブアプリは共有コンピューターを利用している可能性を想定して、すぐにログアウトするよう設計されています。これは「2006年のインターネットカフェ」であれば理にかなった設計ですが、ほとんどの人にとっては行き過ぎたものであるとTailscaleは指摘。「銀行のように機密性が高く、不釣り合いなほど価値の高い情報を扱う場合は、15分のセッション継続時間は理にかなっています。少し余裕を持たせたいからです。しかし、ほとんどのウェブサイトが『中程度』とされている7日間や30日間といった有効期限を設定しています。これは何の役にも立ちません。セッションハイジャックを阻止するには長すぎる一方で、ユーザーにとっては短すぎる煩わしいルールです。まさに両方の悪質さを併せ持っています」と評しました。

セキュリティを適切に管理するには、重要な場合には本来の持ち主がデバイスを所持していることを確認する必要があります。そのためには数時間ごとに再ログインを要求するのではなく、重要な操作の直前にユーザー認証を行う必要があるとTailscaleは主張。Tailscale SSHのチェックモードとTailscale Slack Accessbotが存在するのはそのためであり、「これらのツールは任意のタイマーではなく、実際に必要な場合にのみユーザー認証を行います」と説明しました。

セキュリティは継続的なものでなければならず、恣意的なインタラクティブサイクルに縛られるべきではありません。デバイスのセキュリティポスチャを評価するデバイスポスチャチェックや、SCIMベースのアクセス制御といったツールは、ユーザーに煩わされることなく、セキュリティ属性とポリシーをバックグラウンドでリアルタイムに更新可能です。数秒または数分でポリシーを更新できるため、短い再認証時間(非常に煩わしい)と長い再認証時間(保護効果が低い)の間で妥協する必要がなくなるとTailscaleは説明しています。

なお、Tailscaleは「最高のセキュリティはストレスのないセキュリティです」と記しました。