パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?パスワードレス認証でセキュリティ向上【中編】

IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。

2024年02月12日 05時00分 公開
[Craig StedmanTechTarget]

 企業で使われるツールやシステムが多様化するのと同時に、アイデンティティー(ID)をどう守るかが課題になっている。これから重要になる手段の一つとして、パスワードを使わない認証である「パスワードレス認証」がある。米TechTargetの調査部門Enterprise Strategy Group(ESG)は、パスワードレス認証を含めて、企業における認証に関する調査を実施した。その結果から何が分かったのか。ESGのアナリスト、ジャック・ポラー氏に聞いた。

IDセキュリティの“がっかり”する実態 なぜパスワードレス認証が必要なのか?

―― 「多要素認証」(MFA)のユーザー企業のうち、40%近くが全従業員に対してMFAを義務化していないという回答がありました。これは驚いてしまう結果です。

ポラー氏 驚いたというより、「がっかりした」と言わざるを得ない。パスワード流出のリスクは広く知られているはずだ。どう考えてもMFAは全てのユーザーに対して義務化することが非常に重要だ。

 これは、ある金融機関のCISO(最高情報セキュリティ責任者)から聞いた話だ。その企業は同社の外部向けアプリケーションのユーザー全員にMFAを必須としたところ、認証を切り口とした攻撃の数がほぼゼロになった。MFAがどれほど有効なツールかがよく分かる話だと思う。

―― パスワードレス認証が注目を集めています。パスワードレス認証のメリットは何でしょうか。

ポラー氏 パスワードレス認証の最大のメリットはフィッシングやソーシャルエンジニアリングといった、人間の心理を悪用する攻撃が防ぎやすくなることだ。パスワード認証や従来のMFAは、秘密情報を共有することをベースとしている。それがセキュリティの大きなリスクにつながる。攻撃者は知恵を絞り、機密情報を盗み出す方法を見つけ出すだろう。パスワードレス認証が“完璧”だとは言わないが、フィッシングやソーシャルエンジニアリングを防ぐための有効なツールだと考えている。

―― パスワードレス認証技術の“成熟度”をどう見ていますか。

ポラー氏 ここ2〜3年、顔認証や指紋認証、音声認証などパスワードレス認証のためにさまざまなツールが出ているが、まだ「バージョン1.0」の段階だ。パスワードレス認証ツールは操作方法や、ユーザーがどのくらい受け入れているかについて、まだ模索中の部分があると思う。とにかく進化が早い。あと1年もすれば、パスワードレス認証ツールはより使いやすいものになっているとみている。

 従業員向けパスワードレス認証については、クラウドアプリケーション、オンプレミスアプリケーション、レガシーアプリケーションの間で認証方法を調整する必要がある。非常に膨大な作業のため、数年間はかかるだろう。昔、SSOもそうだったが、新しい認証技術が普及するまでは多少時間が必要だ。


 次回は、パスワードレス認証がどのような仕組みなのかを紹介する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news056.jpg

2024夏アニメの人気維持率 「負けヒロインが多すぎる!」の特異な動き
ブシロードのグループ会社であるゲームビズは「アニメビジネスインサイト『データで見る2...

news063.jpg

約8割の人が経験する「見づらいホームページ」 最も多い理由は?
NEXERはくまwebと共同で「見づらいホームページ」に関するアンケートを実施した。

news119.jpg

スマホ時間の奪い合い「利用者増えても、利用時間は減少」 唯一の勝者は?
データマーケティング支援のGlossomは、「スマートフォンでのメディアとコマースの利用に...