“パスワードのいらない世界”をかなえる技術の正しい見極め方：「パスワードレス認証」7つの課題【第3回】

適切なシステムや使い方を検討しておかなければ、パスワードレス認証の技術選定はうまくいかない。企業が事前に考慮すべき自社システムの現状とは。

[Kyle Johnson，TechTarget]

　企業はパスワードを利用しない認証手段「パスワードレス認証」の導入を模索し始めている。第2回「“パスワードのいらない世界”をレガシーアプリでも実現する方法」に続き、企業がパスワードレス認証を実装する上での課題を説明する。

課題3．必要な技術を判断する

　パスワードレス認証の導入には、適切なツールの活用が不可欠だ。企業はパスワードレス認証製品を選ぶ前に、現在の自社システムの状態を調べなければならない。「大企業はたいてい、パスワードレス認証を導入する体制が、ある程度整っている」。Webアプリケーション開発ベンダーPantheonでCTO（最高技術責任者）を務めるデービッド・ストラウス氏は、こう話す。

併せて読みたいお薦め記事

パスワードレス化の必要性

• “パスワードのいらない世界”への道　「パスワードレス認証」の第一歩とは
• “パスワードのいらない世界”は本当に来るのか　肯定派、否定派それぞれの見解
• パスワード認証はなぜ危険なのか？　注意すべき攻撃手段とユーザーの行動

　例えばMicrosoftのディレクトリサーバ「Active Directory」（AD）は、すでにさまざまな企業が権限管理などの目的で活用している。企業はADを使うことで、「Windows」ユーザー向けのパスワードレス認証をセットアップできる。

　企業は利用中のツールを調べるだけでなく、今後どのようなツールが必要になるのかを判断する必要もある。システム管理ツールベンダーIvanti Softwareで製品管理担当バイスプレジデントを務めるクリス・ゲトル氏は、2014年に登場した「Android」バージョン5系をいまだに使っている企業と話した経験を引き合いに出す。「企業の現行のシステムやデバイスでパスワードレス認証を利用できなければ、パスワードレス認証の導入は非効率で無駄だ」とゲトル氏は指摘する。

　利用中のシステムで、パスワードレス認証をどのように使えばよいのかも確認する必要がある。例えばストラウス氏のWindows搭載PCとスマートフォンは、どちらも顔認証を利用できる。だがこのWindows搭載PCとスマートフォンは、それぞれの顔認証において異なる測定技術を採用しており、同じ顔認証用データを利用しない。

　「ハードウェア間の違いを踏まえ、企業は多角的なアプローチを取る必要がある」とストラウス氏は助言する。企業が顔認証を活用する場合は、顔認証を利用できないデバイスがあることを考慮して、顔認証以外の認証手段も提供することを検討すべきだという。

　複数の認証手段を採用することは、異なるシステムの混在を許容することになり、さらなる複雑化を招きかねない。ベンダーの選択肢を狭める可能性もある。

　「企業はベンダーを選ぶ段階になると、考慮すべき用途とそれに対する有効な方法がたくさんあることに気付く」。調査会社Gartnerのアナリストであるデービッド・マーディー氏はそう説明する。例えば銀行はさまざまなツールを持っており、その一部は機能が重複している。その理由についてマーディー氏は「ある方法が特定の支店でうまく機能したり、ある方法がモバイルデバイスで有効に働いたりといったことが積み重なっているからだ」と話す。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。