“パスワード廃止論”の追い風が吹く「パスワードレス認証」の現在地:パスワードレス認証でセキュリティ向上【後編】
セキュリティの新たな手段として「パスワードレス認証」が注目を集めつつある。これから注視したいのは、どのように広く普及するのかだ。現状はどのような状況なのか。専門家に聞いた。
パスワードではなく、顔や指紋を使って認証を実施する技術として「パスワードレス認証」がある。パスワードレス認証を使うことで、エンドユーザーの利便性が改善する他、アイデンティティー(ID)のセキュリティを強化できる効果が期待できる。実際、パスワードレス認証の利用はどこまで進んでいるのか。米TechTargetの調査部門Enterprise Strategy Group(ESG)アナリストのジャック・ポラー氏に、「パスワードレス認証の今」を聞いた。
「WebAuthn」が追い風に? パスワードレス認証の現在地
―― ESGの調査で「認証技術への投資を増やす予定がある」と回答したうちの59%が、パスワードレス認証が最優先の投資先だと答えました。パスワードレス認証の導入は現時点でどのような段階にあるのでしょうか。
併せて読みたいお薦め記事
連載:パスワードレス認証でセキュリティ向上
パスワードレス認証を実現するには
ポラー氏 まだ始まったばかりだと見ている。社外向けシステムにおけるパスワードレス認証の導入が、社内向けシステムのパスワードレス認証に先行している。なぜなら、社外向けシステムには、社内向けシステムよりもビジネス的な視点で慎重に扱うべき部分があるからだ。
例えば顧客アカウントが攻撃されたら、決済データや医療データといった顧客の個人情報が流出する恐れがあり、大問題になりかねない。リスクがはっきりしているので、企業としては優先的に手を打ちたいと考える。従来の多要素認証(MFA)は、顧客にとっては手間がかかる。パスワードレス認証にすれば、手間を軽減できる。
2022年にApple、Google、Microsoftが認証関連の業界団体FIDO Allianceによるパスワードレス認証技術「FIDO2」の活用に注力する計画を発表した。これにより、この3社からリリースされる全てのOSやWebブラウザが、FIDO2をベースとしたパスワードレス認証技術「Web Authentication 」(WebAuthn)に準拠するようになる。まだWebAuthnがなかったとき、パスワードレス認証の仕組みは独自にソースコードを作る必要があり、非常に複雑だった。今では、WebAuthnをアプリケーションに組み込む方法が開発者向けに提供されている。パスワードレス認証の実装は開発者にとってより簡単になった。
従業員向けの認証を見ると、MFAや、エンドユーザーが1つの資格情報で複数のシステムにログインできるSSO(シングルサインオン)ができないアプリケーションがまだ多く使用されている。これがパスワードレス認証の導入が遅れている主な理由だ。デバイス側にも問題がある。従業員が業務に使うデバイスは通常、PCだ。クライアントOS「Windows」には生体認証機能「Windows Hello」があるが、全てのPCが準拠しているわけではない。
Microsoftは「Windows 11」でWindows Helloの生体認証を使ったパスワードレス認証の導入を推進しており、パスワードを廃止することを強く推奨している。Microsoftのデータによると、同社が認証を管理すれば、ユーザー企業が自社で管理する場合と比べ、3倍から5倍もセキュリティが向上する。パスワードレス認証の普及の追い風になるだろう。
―― 認証に関して、ポラーさんから企業に伝えたいことはありますか。
ポラー氏 認証はまだ多くの企業にとって課題、ということだ。企業は認証について自社の取り組みを把握していると思っているが、明らかにそれは誤解だ。認証のさまざまな弱点を解決することにもっと注力すべきだと言いたい。強力なMFAを実装し、できるだけ迅速にパスワードレス認証へと移行する必要がある。IDが情報漏えいの主な原因であることは周知の通りだ。IDのセキュリティを向上させることで攻撃リスクを大幅に軽減できる。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.