IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。
企業で使われるツールやシステムが多様化するのと同時に、アイデンティティー(ID)をどう守るかが課題になっている。これから重要になる手段の一つとして、パスワードを使わない認証である「パスワードレス認証」がある。米TechTargetの調査部門Enterprise Strategy Group(ESG)は、パスワードレス認証を含めて、企業における認証に関する調査を実施した。その結果から何が分かったのか。ESGのアナリスト、ジャック・ポラー氏に聞いた。
―― 「多要素認証」(MFA)のユーザー企業のうち、40%近くが全従業員に対してMFAを義務化していないという回答がありました。これは驚いてしまう結果です。
ポラー氏 驚いたというより、「がっかりした」と言わざるを得ない。パスワード流出のリスクは広く知られているはずだ。どう考えてもMFAは全てのユーザーに対して義務化することが非常に重要だ。
これは、ある金融機関のCISO(最高情報セキュリティ責任者)から聞いた話だ。その企業は同社の外部向けアプリケーションのユーザー全員にMFAを必須としたところ、認証を切り口とした攻撃の数がほぼゼロになった。MFAがどれほど有効なツールかがよく分かる話だと思う。
―― パスワードレス認証が注目を集めています。パスワードレス認証のメリットは何でしょうか。
ポラー氏 パスワードレス認証の最大のメリットはフィッシングやソーシャルエンジニアリングといった、人間の心理を悪用する攻撃が防ぎやすくなることだ。パスワード認証や従来のMFAは、秘密情報を共有することをベースとしている。それがセキュリティの大きなリスクにつながる。攻撃者は知恵を絞り、機密情報を盗み出す方法を見つけ出すだろう。パスワードレス認証が“完璧”だとは言わないが、フィッシングやソーシャルエンジニアリングを防ぐための有効なツールだと考えている。
―― パスワードレス認証技術の“成熟度”をどう見ていますか。
ポラー氏 ここ2〜3年、顔認証や指紋認証、音声認証などパスワードレス認証のためにさまざまなツールが出ているが、まだ「バージョン1.0」の段階だ。パスワードレス認証ツールは操作方法や、ユーザーがどのくらい受け入れているかについて、まだ模索中の部分があると思う。とにかく進化が早い。あと1年もすれば、パスワードレス認証ツールはより使いやすいものになっているとみている。
従業員向けパスワードレス認証については、クラウドアプリケーション、オンプレミスアプリケーション、レガシーアプリケーションの間で認証方法を調整する必要がある。非常に膨大な作業のため、数年間はかかるだろう。昔、SSOもそうだったが、新しい認証技術が普及するまでは多少時間が必要だ。
次回は、パスワードレス認証がどのような仕組みなのかを紹介する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
2024夏アニメの人気維持率 「負けヒロインが多すぎる!」の特異な動き
ブシロードのグループ会社であるゲームビズは「アニメビジネスインサイト『データで見る2...
約8割の人が経験する「見づらいホームページ」 最も多い理由は?
NEXERはくまwebと共同で「見づらいホームページ」に関するアンケートを実施した。
スマホ時間の奪い合い「利用者増えても、利用時間は減少」 唯一の勝者は?
データマーケティング支援のGlossomは、「スマートフォンでのメディアとコマースの利用に...