パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?:パスワードレス認証でセキュリティ向上【中編】
IDセキュリティが脆弱(ぜいじゃく)になる問題の解決策になる手段として、パスワードレス認証がある。そもそも従来の対策では何が駄目で、なぜパスワードレス認証を検討すべきなのか。専門家の見方を紹介する。
企業で使われるツールやシステムが多様化するのと同時に、アイデンティティー(ID)をどう守るかが課題になっている。これから重要になる手段の一つとして、パスワードを使わない認証である「パスワードレス認証」がある。米TechTargetの調査部門Enterprise Strategy Group(ESG)は、パスワードレス認証を含めて、企業における認証に関する調査を実施した。その結果から何が分かったのか。ESGのアナリスト、ジャック・ポラー氏に聞いた。
IDセキュリティの“がっかり”する実態 なぜパスワードレス認証が必要なのか?
―― 「多要素認証」(MFA)のユーザー企業のうち、40%近くが全従業員に対してMFAを義務化していないという回答がありました。これは驚いてしまう結果です。
併せて読みたいお薦め記事
連載:パスワードレス認証でセキュリティ向上
パスワードレス認証を実現するには
ポラー氏 驚いたというより、「がっかりした」と言わざるを得ない。パスワード流出のリスクは広く知られているはずだ。どう考えてもMFAは全てのユーザーに対して義務化することが非常に重要だ。
これは、ある金融機関のCISO(最高情報セキュリティ責任者)から聞いた話だ。その企業は同社の外部向けアプリケーションのユーザー全員にMFAを必須としたところ、認証を切り口とした攻撃の数がほぼゼロになった。MFAがどれほど有効なツールかがよく分かる話だと思う。
―― パスワードレス認証が注目を集めています。パスワードレス認証のメリットは何でしょうか。
ポラー氏 パスワードレス認証の最大のメリットはフィッシングやソーシャルエンジニアリングといった、人間の心理を悪用する攻撃が防ぎやすくなることだ。パスワード認証や従来のMFAは、秘密情報を共有することをベースとしている。それがセキュリティの大きなリスクにつながる。攻撃者は知恵を絞り、機密情報を盗み出す方法を見つけ出すだろう。パスワードレス認証が“完璧”だとは言わないが、フィッシングやソーシャルエンジニアリングを防ぐための有効なツールだと考えている。
―― パスワードレス認証技術の“成熟度”をどう見ていますか。
ポラー氏 ここ2〜3年、顔認証や指紋認証、音声認証などパスワードレス認証のためにさまざまなツールが出ているが、まだ「バージョン1.0」の段階だ。パスワードレス認証ツールは操作方法や、ユーザーがどのくらい受け入れているかについて、まだ模索中の部分があると思う。とにかく進化が早い。あと1年もすれば、パスワードレス認証ツールはより使いやすいものになっているとみている。
従業員向けパスワードレス認証については、クラウドアプリケーション、オンプレミスアプリケーション、レガシーアプリケーションの間で認証方法を調整する必要がある。非常に膨大な作業のため、数年間はかかるだろう。昔、SSOもそうだったが、新しい認証技術が普及するまでは多少時間が必要だ。
次回は、パスワードレス認証がどのような仕組みなのかを紹介する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.