MFAやパスキー導入が進む中、「ログインできない」といった混乱はITの現場で見られる光景だ。認証技術の進化とその現実から、安全と利便性のバランスを取るための検討軸を紹介する。
「ログインできないんですが」「スマホを変えたら認証が通らなくなりました」――MFA(多要素認証)や新しい認証方式を導入した後、IT部門へこうした問い合わせが増えた経験はないでしょうか。認証技術は年々進化し、セキュリティ強化は進んでいる一方で、現場では「面倒になった」「分かりにくくなった」という声が聞こえる場合があります。
しかし、パスワードだけに頼る運用は、リスクが高いことも明らかです。IT部門は「安全性を高めたい」と考え、ユーザーは「できるだけ楽に使いたい」と感じる。このギャップは、どこまで許容されるべきなのでしょうか。
本稿は、パスワード、MFA、パスキーという3つの認証方式を軸に「不便さ」の正体と、その許容ラインを整理します。
近年、認証方式は大きく進化しています。MFAは「知識情報(パスワード)」に加えて、「所持情報」や「生体情報」を組み合わせることで、不正アクセスへの耐性を高める仕組みです。「パスキー」(Passkey)は、FIDO(Fast IDentity Online)規格に基づき、公開鍵暗号を用いてパスワードそのものを使わずに認証するための仕組みです。
認証関連の業界団体FIDO Allianceが2024年12月に発表した調査によると、パスキーに対応するアカウント数は1年で倍増し、150億件を超えました。Amazon、Google、ソニーといった主要サービスでも採用が進み、一般ユーザーの目に触れる機会は増えつつあります。
FIDO Allianceが2024年10月に公開した「Online Authentication Barometer」では、パスキーの認知度が2022年の39%から2024年には57%へと上昇したことが示されています。日本では認知した人の62%がパスキーを実際に有効化しており、このことからも普及が進んでいることが伺えます。
このように新方式の普及は進んでいるものの、現実にはパスワードからの置き換わりが進んでいる訳ではありません。多くの業務システムや社内アプリケーションでは、パスワードの利用を主流としているところもあります。
その結果、フィッシング詐欺や認証情報漏えいのリスクは残り続けてしまいます。また、FIDO Allianceの調査では42%の人が「過去1か月以内にパスワードを忘れて購買を断念した経験がある」と回答しており、パスワード忘れによるログイン失敗が、サービス利用の離脱につながるケースも見受けられます。認証は進化し、認知も進んでいる一方で、利用実態は停滞しているのが現状です。
認証の世界では「不便=安全」という価値観が根強く残っています。ログインが面倒であればあるほど、セキュリティが高いと受け止められやすいのが実情です。そのため、ユーザー体験(UX)が多少悪くても仕方がないという前提で設計されがちです。
IT部門の現場では「安全性を高めると利用者の不便につながる」という板挟みに直面します。例えば、MFAを導入した直後に「ログインできない」「通知が届かない」といった問い合わせが急増するのは、よくある光景です。
さらに、認証は「人」「端末」「サービス」という3つの要素に強く依存します。人の異動や退職、端末の更新や初期化、SaaSの追加導入など、環境が変わるたびに認証設計の見直しが必要になります。しかし、これらの変化に認証基盤が追従しきれないことが、不便さを固定化させる要因となっています。
パスワードは、使われてきた年月の長さから、認知度が高い認証方式であり、対応できるシステムも多い傾向にあります。一方で、高度化する情報社会ではパスワードの限界が見えつつあります。忘れやすい、管理が面倒、使い回しの誘惑も強い、といった特性は長年変わっていません。
従業員に、次のようなパスワード管理を指示しているIT部門もあります。
これらの管理方法はセキュリティ対策として有効ですが、実際には複雑さや頻繁な変更制限が、付せんでの管理や使い回しを助長し、リスクを高めることもあります。それでもパスワード文化が変わらない背景には、既存システムとの互換性やレガシー資産、長年の社内慣習があります。
IT部門側の負担も無視できません。パスワードリセットの依頼、アカウントロックの解除、問い合わせ対応など、細かな運用コストは積み重なってしまいます。
MFAは、パスワード単体に比べて安全性を大きく高めます。その一方で、MFA利用の拡大とともにユーザーが混乱する要素も増えています。
一般的なMFA方式にはいくつかの種類があり、それぞれ固有の不便さがあります。
実務では、認証に使用する端末を初期化した結果、認証アプリケーションが消えてしまい、復旧に時間がかかるといった事例も考えられます。
先も述べた通り、FIDO Allianceの発表では2024年時点でパスキー対応アカウント数は150億件を超えています。認知と利用も定着しつつあります。
では、生体認証を含めたパスキーによる認証は万能と言えるかと言えば、そうではありません。
パスキーが解決できるのは、主に「パスワード忘れ」「フィッシング耐性」「ユーザーの認証体験」といった課題です。IT部門の業務について言えば、運用負荷の軽減も期待できます。
その一方で、既存の業務アプリケーションやレガシーシステムがパスキーに対応していない場合もあります。端末やOSの管理が不十分な環境、私物端末の利用がある環境下での内部統制、複数デバイス間での同期管理など、導入前に整理すべき課題は少なくありません。パスキーは有力な選択肢ですが「導入すれば全て解決」というわけではないのです。
認証方式を検討する際「安全か便利か」という2軸だけでは不足しています。実務では、次のような軸で整理する必要があります。
SaaS中心で、主要デバイスがモダンなOSに統一されている環境では、パスキー移行は現実的な選択肢となります。一方、レガシーなシステムや特定業務向けアプリでは、パスワードを継続する方が合理的なケースもあります。
パスワード、MFA、パスキーは、それぞれ異なる場所で不便さを生み出します。認証方式の議論は、技術の優劣ではなく「どの不便を、誰がどの程度まで引き受けるのか」という視点で整理すべきです。
パスキーは有力な選択肢ですが、移行は段階的に行うことが推奨されます。IT部門は、ユーザー、システム、運用体制を一体として捉え、自社にとって「不便の総量」が最小となるポイントを探る必要があります。認証は、万能解ではなく、現実解を積み重ねる領域と言えるでしょう。
◆ https://fidoalliance.org/wp-content/uploads/2024/10/Barometer-Report-2024-Oct-29.pdf◇2024 Online Authentication Barometer◆
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
