パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?パスワードレス認証でセキュリティ向上【中編】

IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。

2024年02月12日 05時00分 公開
[Craig StedmanTechTarget]

 企業で使われるツールやシステムが多様化するのと同時に、アイデンティティー(ID)をどう守るかが課題になっている。これから重要になる手段の一つとして、パスワードを使わない認証である「パスワードレス認証」がある。米TechTargetの調査部門Enterprise Strategy Group(ESG)は、パスワードレス認証を含めて、企業における認証に関する調査を実施した。その結果から何が分かったのか。ESGのアナリスト、ジャック・ポラー氏に聞いた。

IDセキュリティの“がっかり”する実態 なぜパスワードレス認証が必要なのか?

―― 「多要素認証」(MFA)のユーザー企業のうち、40%近くが全従業員に対してMFAを義務化していないという回答がありました。これは驚いてしまう結果です。

ポラー氏 驚いたというより、「がっかりした」と言わざるを得ない。パスワード流出のリスクは広く知られているはずだ。どう考えてもMFAは全てのユーザーに対して義務化することが非常に重要だ。

 これは、ある金融機関のCISO(最高情報セキュリティ責任者)から聞いた話だ。その企業は同社の外部向けアプリケーションのユーザー全員にMFAを必須としたところ、認証を切り口とした攻撃の数がほぼゼロになった。MFAがどれほど有効なツールかがよく分かる話だと思う。

―― パスワードレス認証が注目を集めています。パスワードレス認証のメリットは何でしょうか。

ポラー氏 パスワードレス認証の最大のメリットはフィッシングやソーシャルエンジニアリングといった、人間の心理を悪用する攻撃が防ぎやすくなることだ。パスワード認証や従来のMFAは、秘密情報を共有することをベースとしている。それがセキュリティの大きなリスクにつながる。攻撃者は知恵を絞り、機密情報を盗み出す方法を見つけ出すだろう。パスワードレス認証が“完璧”だとは言わないが、フィッシングやソーシャルエンジニアリングを防ぐための有効なツールだと考えている。

―― パスワードレス認証技術の“成熟度”をどう見ていますか。

ポラー氏 ここ2〜3年、顔認証や指紋認証、音声認証などパスワードレス認証のためにさまざまなツールが出ているが、まだ「バージョン1.0」の段階だ。パスワードレス認証ツールは操作方法や、ユーザーがどのくらい受け入れているかについて、まだ模索中の部分があると思う。とにかく進化が早い。あと1年もすれば、パスワードレス認証ツールはより使いやすいものになっているとみている。

 従業員向けパスワードレス認証については、クラウドアプリケーション、オンプレミスアプリケーション、レガシーアプリケーションの間で認証方法を調整する必要がある。非常に膨大な作業のため、数年間はかかるだろう。昔、SSOもそうだったが、新しい認証技術が普及するまでは多少時間が必要だ。


 次回は、パスワードレス認証がどのような仕組みなのかを紹介する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news116.jpg

AIを活用して広告クリエイティブの成果を予測 Macbee Planetが新モデルを開発
Macbee Planetは、AIを活用した広告クリエイティブの成果予測モデルを開発した。

news106.jpg

KDDIが取り組む3000万人規模のパーソナライゼーション データ基盤とAIの使いどころは?
AI時代のマーケターの悲願である「ハイパーパーソナライゼーション」に果敢に挑むのがKDD...

news046.jpg

ドクターペッパーが米炭酸飲料市場2位に躍進――ペプシ超えを成し遂げたすごいマーケティング【後編】
「選ばれし者の知的飲料」として知られ、確固としたファンベースを築いたDr Pepper。新た...