「パスワードレス認証とは」の前に考える、企業のセキュリティが甘過ぎた実態：パスワードレス認証でセキュリティ向上【前編】

セキュリティを強化するための手段として、パスワードの代わりに顔や指紋を使って認証をする「パスワードレス認証」が注目を集め始めた。企業はなぜIDのセキュリティの対策を見直すべきなのか。専門家に聞いた。

[Craig Stedman，TechTarget]

　脆弱（ぜいじゃく）な認証手法を介して攻撃を受けるリスクをどう防ぐのか――。アイデンティティー（ID）のセキュリティは、企業にとって喫緊の課題だ。「企業は、認証にパスワードを使わない『パスワードレス認証』を使うことで、IDのセキュリティを強化できる」。そう語るのは、米TechTargetの調査部門Enterprise Strategy Group（ESG）アナリストのジャック・ポラー氏だ。

　IDのセキュリティを巡り、何が課題になっているのか。強化するには何に取り組めばいいのか。ポラー氏に尋ねた。

「パスワードレス認証」の前に、まずIDセキュリティの盲点

――　大半の企業が「自社のIDセキュリティは不十分だ」と考えているようです。IDセキュリティに関して、何が課題になっていて、企業は何から取り組めばいいのでしょうか。

併せて読みたいお薦め記事

パスワードレス認証を実現するには

• “パスワードのいらない世界”への道　「パスワードレス認証」の第一歩とは
• Apple、Google、Microsoftが推すパスワードレス認証「FIDO2」とは？

ポラー氏　ESGが2023年に実施した調査では、企業のセキュリティ担当に「認証を巡る最大の課題とは何か」を質問した。多くの企業が答えたのは、セキュリティに関する従業員のスキル不足だった。他には、「IDのセキュリティは重要だと捉えているが、先に取り組むべきことがある」という回答もあった。私は、企業のセキュリティ対策はまず認証から考えなければならないと考えている。IDセキュリティの強化は、人材不足と共に複合的な課題になっている。

――　ESGの調査では、対象者の45％が「過去1年間に認証情報が漏えいした」と回答し、そのうちの59％が「認証情報の漏えいが攻撃を招いた」と答えています。ところが対象の87％は、自組織のアカウントを侵害する攻撃を検出できると回答していました。この結果から、企業のIDセキュリティの取り組みは十分ではないことが分かります。

ポラー氏　その通りだ。企業は「自社には攻撃を検出できる能力があり、被害を防止できるから大丈夫だ」と考えている。だがそれは過信であり、企業が対策を軽視しているに過ぎないことが調査の結果から判明した。攻撃を検出し、攻撃を抑止できるかどうかに関して、自社の能力を見誤っている企業が少なくない。

　対策を軽視している企業はいずれ、痛い目に遭う可能性がある。セキュリティを考える上では、そもそも「攻撃を検出できるかどうか」だけが重要なのではない。企業は絶えず攻撃されるリスクにさらされている。そうした攻撃による被害をどう抑止できるのかについて最初に知恵を絞るべきだ。

――　ESGの調査では、対象者の3割が「IDおよびアクセス管理（IAM）の一環として、今後1年間に認証技術への投資を増やす」と回答しました。この数字をどう捉えていますか。

ポラー氏　まず、パスワードレス認証や多要素認証（MFA）を中心として認証技術に投資するのは、企業にとって間違いなく良いことだ。新しいアプリケーションを導入した際、既存のIDにアクセス許可を与えることで、簡単にそのアプリケーションにアクセスできるようになる。これは従業員にとっての利便性の向上につながる。この点に関して、企業は理解を深めつつあると見ている。

　しかし、これだけでは不十分だ。企業は利便性を改善したり効率化を進めたりするだけではなく、セキュリティも同時に考えなければならない。つまり、IDをどう保護するのかだ。この観点での考え方としてはID管理ではなく「IDセキュリティ」が大切であり、企業は認証技術を含めてIDセキュリティへの投資をより重視する必要があると捉えている。

---

　次回は、パスワードレス認証のメリットを取り上げる。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。