パスワードは管理や入力に手間がかかるだけでなく、攻撃に対して脆弱になる懸念もある。パスワードを使わない「パスワードレス認証」に移行するための3つのステップを解説する。
パスワードは管理や入力が面倒なだけではなく、攻撃に対して脆弱(ぜいじゃく)でもある。パスワードによる認証ではなく、生体認証のような“パスワードを使わない認証”である「パスワードレス認証」に移行することで、ユーザー体験(UX)とセキュリティ強度の向上が見込める。パスワードレス認証への移行を進めるにはどういう手順を踏めばいいのか。3つのステップで解説する。
最初は、セキュリティや事業全体の関係者と連携してパスワードレス認証への移行計画を立てる。移行計画には最低限、次の手順を取り入れよう。
パスワードレス認証への移行に当たり、最初から専用ツールを導入する必要があるとは限らない。導入済みのスマートフォンやPCといったデバイスの他、IAM(IDおよびアクセス管理)ツールにパスワードレス認証機能が付いている場合があるからだ。コストやスピードの観点から、まずはこうした機能を活用するのも手だ。
気を付ける必要があるのは、パスワードレス認証の対象者だ。従業員に加えて、顧客もパスワードレス認証の対象に含めるべきケースがある。それぞれのニーズに合ったパスワードレス認証の仕組みを作るには、以下がポイントになる。
UXの向上ももちろん大切だが、セキュリティの強化が主要な目的となる。製品としては、アカウント管理ツールが中心。大半のアカウント管理ツールは以下に準拠している。
ベンダー独自のパスワードレス認証方法を採用しているアカウント管理ツールもある。
UXの向上が主要な目的となる。認証の仕組みが使いにくければ顧客離れにつながる恐れがあるが、セキュリティも重視しなければならない。特に、契約締結に関するツールでは、複数の要素によって認証を求める仕組みの導入が必要になる。
ツール導入の流れとしては、まず一部のエンドユーザーを対象にテストを実施するとよい。テストを通じて問題点を洗い出し、改善した上で、全体への展開に取り組む。組織が大きければ大きいほどトラブルが発生しやすくなるので、展開の作業を幾つかのフェーズに分けて取り組むことが望ましい。万が一のトラブル発生に備え、組織はパスワードレス認証についてのサポート体制を整えることが重要だ。
既存のツールだけでニーズを満たせない場合は、追加の方法を検討してパスワードレス認証の手段の幅を広げることになる。例えばメインフレームを基盤として構築されたレガシーアプリケーションなど既存のツールで扱えない対象についてもパスワードレス認証の対象にするのであれば、そのためのツールや仕組みの導入は欠かせない。
米国Informa TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
OpenAI、Google、etc. 第59回スーパーボウルで賛否が分かれた“微妙”CMたち
スーパーパーボウルLIXでは、有名人やユーモア、政治を前面に押し出した広告について、賛...
「単なるスポーツ広告ではない」 Nikeの27年ぶりスーパーボウルCMは何がすごかった?
Nikeが27年ぶりにスーパーボウルCMに復帰し、注目を集めた。
Z世代と上の世代で利用率の差が大きいSNSトップ3 1位「TikTok」、2位「Instagram」、3位は?
サイバーエージェント次世代生活研究所が実施した「2024年Z世代SNS利用率調査」の結果が...