巧妙化するフィッシング攻撃に、パスワードはもはや無力と言わざるを得ない。企業の87%が導入を検討する「パスキー」は、強固なセキュリティと利便性向上を両立する切り札だ。段階的にパスキーを展開するための具体的な移行ロードマップを解説する。
CISO(最高情報セキュリティ責任者)は、エンドユーザーが設定する脆弱(ぜいじゃく)なパスワードが攻撃者に簡単に解読されるなど、人的要素が企業のサイバーセキュリティ防御において最も脆弱な要素になり得ることを認識している。より強固な代替手段を求めて、セキュリティチームはパスキーへの移行を進めている。
エンドユーザーが作成するパスワードとは異なり、パスキーはデジタル生成される暗号化資格情報で、IAM(アイデンティティーアクセス管理)戦略の一環として機能する。パスキーは生体認証を利用し、スマートフォンなどのデバイスやハードウェアトークン内に保存される。サーバを介して通信するのではなく、認証サービスを通じて検証される仕組みだ。
パスキーは脆弱なパスワードに代わる手段となる。それだけでなく、生体認証やデバイスベースの暗号鍵を使用するため、フィッシングなどのソーシャルエンジニアリングで情報を奪うことが極めて困難だ。
指紋認証やデバイスのPIN入力などの選択肢により、ログインを効率化できる。多くのセキュリティツールで求められる追加の手順も不要だ。アクセスセキュリティを強化しつつ、ログインプロセスを簡素に保つことができる。ユーザーは複雑なパスワードを覚える必要がなく、頻繁なパスワード変更に悩まされることもない。
デジタル認証を活用するパスキーは、セキュリティと使いやすさの両面で、パスワードが抱える固有の弱点を解消する有効な選択肢だ。
FIDOアライアンスがセキュリティ意思決定者400人を対象に実施した調査では、企業の87%がパスキーの導入を進めていることが判明した。
移行を後押しする要因の1つは、ゼロトラストセキュリティの重視だ。認証と検証が完了するまでリソースへアクセスさせない考え方が浸透している。
規制要件への対応やデジタルアイデンティティーの保護に対する圧力も、パスキー普及の理由だ。パスキーは厳格なアクセス制御を可能にし、コンプライアンスを証明するために必要な監査ログも提供する。
多くの先進的なアイデンティティー管理システムは、モバイル認証や生体認証スキャナーといったパスキー技術に対応している。これはモバイルやクラウドを活用する組織にとって重要な検証ポイントとなる。従来のパスワードよりも強力な統制が可能だ。また、リソースへのアクセスに最低2つの認証要素を求める多要素認証(MFA)とも連携できる。
意思決定者は、企業用パスキー(エンタープライズパスキー)と個人用パスキー(コンシューマーパスキー)のどちらを導入するか、あるいは両方を採用するかを選択する必要がある。
企業用パスキーは、機密情報や価値の高いリソースにアクセスする従業員、請負業者、パートナーが主に対象となる。シングルサインオン(SSO)や管理ツール、社用デバイス、ポリシー適用といった既存のインフラやポリシーと連携させることが必要だ。
個人用パスキーは、主に顧客や購読者などの外部ユーザー向けだ。内部ユーザーも、外部のデジタルプラットフォームにアクセスする際に必要となる場合がある。ログインやリセット時の利便性が重要だが、相互運用性とプライバシーの確保を重視すべきだ。
ハイブリッド環境では、内部ユーザーがSaaSツールやコラボレーションプラットフォームを利用するために個人用パスキーを使うケースも想定される。企業用と個人用のシステムをシームレスに統合すれば、ユーザー体験(UX)を向上させ、セキュリティも強化できる。
CISOは、段階的なアプローチを検討すべきだ。まずは少人数のグループでパイロット運用を実施し、UXの測定と技術セットアップの検証を行う。その後、対象を広げながらセキュリティ性能を確認していく。全従業員へ展開する前に、役員やIT管理者、機密システムへのアクセス権を持つ職員など、リスクの高いグループから開始するのが定石だ。
請負業者や外部パートナーが社内リソースにアクセスする場合、それが社用デバイスか私物デバイスかにかかわらず、より厳格で詳細なポリシーの適用を検討する。
顧客や購読者では、リスクプロファイルや居住地域、規制要件、取引量などを評価して展開を判断する。最終的には、パスキーが全員のデフォルト認証システムとなる「完全展開」を目指す。
プロバイダーを選定する前に、認証要件やユーザー層、コンプライアンス、重要なアプリケーション、ITインフラを考慮した内部ニーズの評価を行う。この際、コンプライアンスチームや事業部門のリーダーを巻き込むことが肝要だ。評価完了後、技術要件やサポート体制、実績に基づいて候補を絞り込む。デモや限定的なパイロット導入、既存顧客へのヒアリング、レビュー調査などが判断の助けになる。その他の考慮事項は以下の通りだ。
大規模なセキュリティ導入と同様に、CISOとIT・セキュリティチームは計画的な実装を進める必要がある。
現在のIAM技術を評価し、どこにパスキーを統合するのが合理的かを見極める。業務文脈のアクセス権限と認証方法を確認する。権限が広すぎないか、認証プロセスは規制要件を満たしているか、円滑な導入に向けた変更点は何かを精査し、ビジネス目標と一致させる。
各事業部門のステークホルダーと対話し、推進役を確保して予算を取り付ける。予算獲得と長期的なセキュリティ施策の推進には、経営陣の支持が必要だ。
MFAを未導入の組織は、パスキー採用の前に生体認証やデバイスベースのMFAを導入すべきだ。これにより、ユーザーを新しいログインプロセスに慣れさせることができる。セキュリティチームにとっても、パスキー展開前にさまざまな認証方法をテストする機会となる。
プロビジョニングの自動化や資格情報のリセット、セルフサービス機能の実装には、管理型の認証サービスが適している。データ保護やエンドポイント暗号化、デバイス管理のレベルを判断するためにインフラを評価する。パスキー導入後に必要となるデータ損失防止(DLP)ルールの更新も検討する。
技術的な障害として、レガシーシステムとの不整合が挙げられる。一部のアプリケーションやデバイスはパスキーに未対応で、アップグレードには多額の費用と複雑な工程を伴う。また、アカウントのロックアウト(締め出し)も懸念材料だ。バックアップやリカバリー、フォールバック(代替)認証プロセスを事前に構築しておく必要がある。
ユーザーからの抵抗に遭う可能性もある。明確な指示とデモンストレーション、継続的なサポートを提供することで、登録プロセスを円滑に進めることが可能だ。
導入の成功は、パスキーの利用状況で測定できる。登録ユーザーの割合を監視すること。ただし、真の成果は情シスやセキュリティ部門が享受するメリットに現れる。
やがてヘルプデスクへのパスワードリセット依頼は減り、フィッシングやアカウント乗っ取りといったインシデントの報告も減少するはずだ。現在の脅威環境で、それはより安全なビジネス環境の実現を意味する。
Copyright © ITmedia, Inc. All Rights Reserved.
パスキーにすれば全て解決? 多要素認証やパスワードと「安心」「不便」を比較する
パスワード使い回しは8割超 危険な運用をやめない人々の胸の内
「多要素認証(MFA)なら安全」は幻想か セッションを盗む“リアルタイムフィッシング”の脅威
「123456」をまだ許容するのか? 最弱パスワードが示す“情シスの敗北”
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
