パスワード卒業“究極”の切り札「パスワードレス認証」の失敗しない選び方:主要な3大方式を徹底比較
厄介なパスワード認証から脱却する「パスワードレス認証」。「生体認証」「FIDO2準拠のセキュリティキー認証」「スマートフォン認証」の3大方式から、最適な選択肢を見極める実践的な選定指針を解説する。
「パスワード管理に貴重な時間が取られる」「機密情報の漏えいリスクが常に不安だ」といった、パスワード認証に対する批判的な声は少なくない。こうした課題を解決する技術が「パスワードレス認証」だ。
パスワードレス認証はパスワードの記憶や管理が不要で、利便性に優れる。生体認証やPIN(暗証番号)認証、セキュリティキー(小型の認証用デバイス)認証など、パスワードレス認証の認証方式は豊富であり、さまざまなクライアントデバイスやシステムで使用可能だ。IDやパスワードの不正取得を目的とする、従来型フィッシングサイトによる情報漏えいリスクも軽減できる。
パスワード運用の複雑さを「パスワードレス認証」が根本的に解決
「NIST Special Publication 800-63B」(以下、SP 800-63B)の2025年7月時点での最新改訂(Revision 4)はパスワードについて、単一要素認証として用いる場合は15文字以上、多要素認証の一要素として用いる場合は8文字以上を必須としている。SP 800-63Bは米国立標準技術研究所(NIST)が定めるID関連のガイドラインの一部であり、認証の仕組みや管理方法を定めている。過去のガイドラインで推奨していた「定期的なパスワード変更」は、最新改訂では原則として禁止とし、認証情報が侵害された場合のみ例外的に変更を強制できると規定している。
パスワードを使わないパスワードレス認証は、こうした課題を根本的に解決する。指紋情報などの生体情報や、認証プロセスで利用する秘密鍵などの秘匿すべき認証用データを、エンドユーザーのデバイス内で安全に管理し、外部に送信しないことで漏えいリスクを低減する。パスワードレス認証の国際標準規格「FIDO2」は、認証対象システムごとに一意の認証用データを生成する。そのため異なるオンラインサービス間でエンドユーザーが追跡されるといったリスクを低減できる。
パスワードレス認証の3大方式を比較
併せて読みたいお薦め記事
パスワードレス認証でセキュリティ向上
- 「パスワードレス認証とは」の前に考える、企業のセキュリティが甘過ぎた実態
- パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ?
- “パスワード廃止論”の追い風が吹く「パスワードレス認証」の現在地
主要なパスワードレス認証方式として、次の3つが広く用いられている。
1.生体認証
最も直感的なパスワードレス認証方式が、生体認証だ。具体的には指紋認証や顔認証などがある。
企業にとっての生体認証の利点は、エンドユーザーに対する認証デバイス配備の容易さだ。既存のクライアントデバイスが指紋リーダーなどの生体認識装置を搭載する場合は、それをそのまま活用できる。Microsoftの「Windows Hello」やAppleの「Touch ID」「Face ID」などの生体認証機能は、コンシューマーデバイスの認証機能として既に普及しており、エンドユーザーへの研修を最小限に抑えやすい。こうした特徴から、中堅・中小企業など専任のIT担当者がいない企業にとっても生体認証は導入しやすくなっている。
エンドユーザーがマスクや帽子を着用していたり、指をけがしたりと、認証手段とする生体に変化があった際、認証が失敗することがあるのが生体認証の課題だ。認証対象システムが、生体認証の成否を認証フローに取り込めない場合は、改修が必要になることがある。既存のクライアントデバイスが生体認識装置を備えない場合は、追加で調達しなければならない。
2.FIDO2準拠のセキュリティキー認証
セキュリティキーを利用する主要なパスワードレス認証方式に、FIDO2準拠のセキュリティキー認証がある。エンドユーザーはFIDO2準拠のセキュリティキーをUSB端子や「NFC」「Bluetooth」といった近距離無線通信技術などを通じてクライアントデバイスに接続し、指紋やPINなどで認証する。認証用データはセキュリティキー外に出ないため、不正ログインのリスクを抑え、安全なログインを実現できる。
エンドユーザーがPIN認証を8回連続で失敗した場合、FIDO2準拠のセキュリティキーは内部に保持する認証用データを自動的に消去する。外部からの物理解析によって認証用データを取り出すことを困難にする耐タンパー性も備える。
公開鍵暗号方式を基盤とするFIDO2は、認証対象システムごとに一意の認証用データを利用し、加えてWebブラウザによる正規ドメイン検証により、フィッシングサイトでは認証が成立しないようにしている。この特性から、フィッシング攻撃の標的となりやすい金融機関や政府機関を中心に、FIDO2準拠のセキュリティキー認証の採用が進む。一方でセキュリティキーの導入・管理コストや、紛失時の代替手段の確保といった課題が残る。
3.スマートフォン認証
スマートフォンの専用アプリケーションを利用するパスワードレス認証方式が、スマートフォン認証だ。専用アプリケーションの例として、Microsoftの認証アプリケーション「Microsoft Authenticator」や、OktaのIDaaS(Identity as a Service)「Okta Identity Cloud」のパスワードレス認証機能「Okta FastPass」などがある。エンドユーザーは、プッシュ通知の承認や専用アプリケーション内での生体認証によって、認証対象システムにログインできる。
広くスマートフォンが普及したことによって、スマートフォン認証の導入障壁は低くなり、テレワーク主体の企業であっても選択しやすくなっている。モバイルデバイスを一括管理する「MDM」(モバイルデバイス管理)ツールとの併用で、企業の管理下にあるスマートフォンのみを認証手段として利用可能にするといった運用が可能だ。
スマートフォン認証では、認証手段として登録したスマートフォンをエンドユーザーが紛失した際に、代替手段を用意していないと認証対象システムにログインできなくなるリスクがある。BYOD(私物デバイスの業務利用)を採用する企業では、私物スマートフォンに対するセキュリティポリシー統制が課題となる。
パスワードレス認証方式の選定基準
どのパスワードレス認証方式を選ぶべきかを判断する際は、企業規模や利用するクライアントデバイス、認証対象システムを考慮することが、選定基準の一つとなる。従業員100人未満の企業には、生体認証を推奨する。特にクライアントデバイスのOSがMicrosoftの「Windows」中心の場合、標準搭載の生体認証機能であるWindows Helloを利用すれば、導入・管理コストを抑制でき、比較的早期に運用を開始しやすい。
従業員100〜500人規模で複数のクラウドサービスを利用する企業は、FIDO2準拠のセキュリティキー認証が適すると考えられる。認証手段をセキュリティキーに統一することで、運用管理の工数を削減できる。従業員500人以上の大企業で、BYODやテレワークが定着している企業は、スマートフォン認証が有力な選択肢になる。
パスワードレス認証の導入でつまずく主な課題
企業がパスワードレス認証の導入時に直面する課題は、主に3つある。
1つ目は「認証方式の選択」だ。上述した3つをはじめ、パスワードレス認証には複数の認証方式があり、IT担当者は判断に迷いやすい。
2つ目は「既存システムとの連携」だ。パスワードレス認証は比較的新しい認証方式であり、パスワード認証を前提とした既存システムでは利用できない場合がある。パスワードレス認証を利用可能にするために認証対象システムの改修や設定変更が必要になったり、結果的にパスワード認証の併用が必要になったりすることがあり、IT担当者にとって導入のハードルとなる。
3つ目は「段階的移行の複雑さ」だ。パスワード認証を併用しつつ、段階的にパスワードレス認証へと移行する場合、複数の認証方式を運用管理することになる。そのためIT担当者の業務が煩雑になりがちだ。
それでも小さく始めて段階的に拡張することが、パスワードレス認証の導入を成功させるためには重要になる。まず特定部門で試験導入し、利用状況と課題を把握した上で、全社展開を検討する。適切なパスワードレス認証方式を選択して導入すれば、セキュリティとエンドユーザーの利便性を両立できる。
Copyright © ITmedia, Inc. All Rights Reserved.