セキュリティの新たな手段として「パスワードレス認証」が注目を集めつつある。これから注視したいのは、どのように広く普及するのかだ。現状はどのような状況なのか。専門家に聞いた。
パスワードではなく、顔や指紋を使って認証を実施する技術として「パスワードレス認証」がある。パスワードレス認証を使うことで、エンドユーザーの利便性が改善する他、アイデンティティー(ID)のセキュリティを強化できる効果が期待できる。実際、パスワードレス認証の利用はどこまで進んでいるのか。米TechTargetの調査部門Enterprise Strategy Group(ESG)アナリストのジャック・ポラー氏に、「パスワードレス認証の今」を聞いた。
―― ESGの調査で「認証技術への投資を増やす予定がある」と回答したうちの59%が、パスワードレス認証が最優先の投資先だと答えました。パスワードレス認証の導入は現時点でどのような段階にあるのでしょうか。
ポラー氏 まだ始まったばかりだと見ている。社外向けシステムにおけるパスワードレス認証の導入が、社内向けシステムのパスワードレス認証に先行している。なぜなら、社外向けシステムには、社内向けシステムよりもビジネス的な視点で慎重に扱うべき部分があるからだ。
例えば顧客アカウントが攻撃されたら、決済データや医療データといった顧客の個人情報が流出する恐れがあり、大問題になりかねない。リスクがはっきりしているので、企業としては優先的に手を打ちたいと考える。従来の多要素認証(MFA)は、顧客にとっては手間がかかる。パスワードレス認証にすれば、手間を軽減できる。
2022年にApple、Google、Microsoftが認証関連の業界団体FIDO Allianceによるパスワードレス認証技術「FIDO2」の活用に注力する計画を発表した。これにより、この3社からリリースされる全てのOSやWebブラウザが、FIDO2をベースとしたパスワードレス認証技術「Web Authentication 」(WebAuthn)に準拠するようになる。まだWebAuthnがなかったとき、パスワードレス認証の仕組みは独自にソースコードを作る必要があり、非常に複雑だった。今では、WebAuthnをアプリケーションに組み込む方法が開発者向けに提供されている。パスワードレス認証の実装は開発者にとってより簡単になった。
従業員向けの認証を見ると、MFAや、エンドユーザーが1つの資格情報で複数のシステムにログインできるSSO(シングルサインオン)ができないアプリケーションがまだ多く使用されている。これがパスワードレス認証の導入が遅れている主な理由だ。デバイス側にも問題がある。従業員が業務に使うデバイスは通常、PCだ。クライアントOS「Windows」には生体認証機能「Windows Hello」があるが、全てのPCが準拠しているわけではない。
Microsoftは「Windows 11」でWindows Helloの生体認証を使ったパスワードレス認証の導入を推進しており、パスワードを廃止することを強く推奨している。Microsoftのデータによると、同社が認証を管理すれば、ユーザー企業が自社で管理する場合と比べ、3倍から5倍もセキュリティが向上する。パスワードレス認証の普及の追い風になるだろう。
―― 認証に関して、ポラーさんから企業に伝えたいことはありますか。
ポラー氏 認証はまだ多くの企業にとって課題、ということだ。企業は認証について自社の取り組みを把握していると思っているが、明らかにそれは誤解だ。認証のさまざまな弱点を解決することにもっと注力すべきだと言いたい。強力なMFAを実装し、できるだけ迅速にパスワードレス認証へと移行する必要がある。IDが情報漏えいの主な原因であることは周知の通りだ。IDのセキュリティを向上させることで攻撃リスクを大幅に軽減できる。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
