「脱パスワード」するには？ パスワードレスを“3ステップ”で実現：安全性も使いやすさも向上

パスワードは管理や入力に手間がかかるだけでなく、攻撃に対して脆弱になる懸念もある。パスワードを使わない「パスワードレス認証」に移行するための3つのステップを解説する。

[Ant Allan，TechTarget]

　パスワードは管理や入力が面倒なだけではなく、攻撃に対して脆弱（ぜいじゃく）でもある。パスワードによる認証ではなく、生体認証のような“パスワードを使わない認証”である「パスワードレス認証」に移行することで、ユーザー体験（UX）とセキュリティ強度の向上が見込める。パスワードレス認証への移行を進めるにはどういう手順を踏めばいいのか。3つのステップで解説する。

1．パスワードレス認証への移行計画

併せて読みたいお薦め記事

パスワードレス認証の可能性

• パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ？
• パスワードではなく「パスキー」を使う“パスワードレス認証”の利点はこれだ

　最初は、セキュリティや事業全体の関係者と連携してパスワードレス認証への移行計画を立てる。移行計画には最低限、次の手順を取り入れよう。

• パスワードを使用しているシステムの一覧を作成
• パスワードレス認証の利用対象となるシステムを決定
• パスワードレス認証のさまざまな方法や技術の中から自社に最適なものを選択
• エンドユーザー向けに、パスワードレス認証導入のスケジュールや、利用時の注意点に関する資料を作成

2．すぐに利用できるパスワードレス認証機能を活用

　パスワードレス認証への移行に当たり、最初から専用ツールを導入する必要があるとは限らない。導入済みのスマートフォンやPCといったデバイスの他、IAM（IDおよびアクセス管理）ツールにパスワードレス認証機能が付いている場合があるからだ。コストやスピードの観点から、まずはこうした機能を活用するのも手だ。

　気を付ける必要があるのは、パスワードレス認証の対象者だ。従業員に加えて、顧客もパスワードレス認証の対象に含めるべきケースがある。それぞれのニーズに合ったパスワードレス認証の仕組みを作るには、以下がポイントになる。

従業員向けツール

　UXの向上ももちろん大切だが、セキュリティの強化が主要な目的となる。製品としては、アカウント管理ツールが中心。大半のアカウント管理ツールは以下に準拠している。

• 「FIDO2」
  • 認証関連の業界団体FIDO Allianceが推し進めているパスワードレス認証技術
• 「WebAuthn」（Web Authentication）
  • インターネット技術の標準化団体「World Wide Web Consortium」（W3C）がFIDO2の仕様を基に標準化したパスワードレス認証技術

　ベンダー独自のパスワードレス認証方法を採用しているアカウント管理ツールもある。

顧客向けツール

　UXの向上が主要な目的となる。認証の仕組みが使いにくければ顧客離れにつながる恐れがあるが、セキュリティも重視しなければならない。特に、契約締結に関するツールでは、複数の要素によって認証を求める仕組みの導入が必要になる。

導入の流れ

　ツール導入の流れとしては、まず一部のエンドユーザーを対象にテストを実施するとよい。テストを通じて問題点を洗い出し、改善した上で、全体への展開に取り組む。組織が大きければ大きいほどトラブルが発生しやすくなるので、展開の作業を幾つかのフェーズに分けて取り組むことが望ましい。万が一のトラブル発生に備え、組織はパスワードレス認証についてのサポート体制を整えることが重要だ。

3．追加の方法を検討

　既存のツールだけでニーズを満たせない場合は、追加の方法を検討してパスワードレス認証の手段の幅を広げることになる。例えばメインフレームを基盤として構築されたレガシーアプリケーションなど既存のツールで扱えない対象についてもパスワードレス認証の対象にするのであれば、そのためのツールや仕組みの導入は欠かせない。

TechTarget発　世界のインサイト＆ベストプラクティス

米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。