パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ？：パスワードレス認証でセキュリティ向上【中編】

IDセキュリティが脆弱（ぜいじゃく）になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。

[Craig Stedman，TechTarget]

　企業で使われるツールやシステムが多様化するのと同時に、アイデンティティー（ID）をどう守るかが課題になっている。これから重要になる手段の一つとして、パスワードを使わない認証である「パスワードレス認証」がある。米TechTargetの調査部門Enterprise Strategy Group（ESG）は、パスワードレス認証を含めて、企業における認証に関する調査を実施した。その結果から何が分かったのか。ESGのアナリスト、ジャック・ポラー氏に聞いた。

IDセキュリティの“がっかり”する実態　なぜパスワードレス認証が必要なのか？

――　「多要素認証」（MFA）のユーザー企業のうち、40％近くが全従業員に対してMFAを義務化していないという回答がありました。これは驚いてしまう結果です。

併せて読みたいお薦め記事

連載：パスワードレス認証でセキュリティ向上

• 前編：「パスワードレス認証とは」の前に考える、企業のセキュリティが甘過ぎた実態

パスワードレス認証を実現するには

• “パスワードのいらない世界”への道　「パスワードレス認証」の第一歩とは
• Apple、Google、Microsoftが推すパスワードレス認証「FIDO2」とは？

ポラー氏　驚いたというより、「がっかりした」と言わざるを得ない。パスワード流出のリスクは広く知られているはずだ。どう考えてもMFAは全てのユーザーに対して義務化することが非常に重要だ。

　これは、ある金融機関のCISO（最高情報セキュリティ責任者）から聞いた話だ。その企業は同社の外部向けアプリケーションのユーザー全員にMFAを必須としたところ、認証を切り口とした攻撃の数がほぼゼロになった。MFAがどれほど有効なツールかがよく分かる話だと思う。

――　パスワードレス認証が注目を集めています。パスワードレス認証のメリットは何でしょうか。

ポラー氏　パスワードレス認証の最大のメリットはフィッシングやソーシャルエンジニアリングといった、人間の心理を悪用する攻撃が防ぎやすくなることだ。パスワード認証や従来のMFAは、秘密情報を共有することをベースとしている。それがセキュリティの大きなリスクにつながる。攻撃者は知恵を絞り、機密情報を盗み出す方法を見つけ出すだろう。パスワードレス認証が“完璧”だとは言わないが、フィッシングやソーシャルエンジニアリングを防ぐための有効なツールだと考えている。

――　パスワードレス認証技術の“成熟度”をどう見ていますか。

ポラー氏　ここ2〜3年、顔認証や指紋認証、音声認証などパスワードレス認証のためにさまざまなツールが出ているが、まだ「バージョン1.0」の段階だ。パスワードレス認証ツールは操作方法や、ユーザーがどのくらい受け入れているかについて、まだ模索中の部分があると思う。とにかく進化が早い。あと1年もすれば、パスワードレス認証ツールはより使いやすいものになっているとみている。

　従業員向けパスワードレス認証については、クラウドアプリケーション、オンプレミスアプリケーション、レガシーアプリケーションの間で認証方法を調整する必要がある。非常に膨大な作業のため、数年間はかかるだろう。昔、SSOもそうだったが、新しい認証技術が普及するまでは多少時間が必要だ。

---

　次回は、パスワードレス認証がどのような仕組みなのかを紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。