パスワード「使う」派vs「使わない」派 リスクやツールの選択肢とは：安全性や利便性を考える

テレワークを背景にクラウドサービスの利用が広がったとともに、それぞれにログインするためのパスワード管理も難しくなった。そもそもパスワードは安全な認証手法なのか。

[TechTargetジャパン]

　近年、クラウドサービス利用の増加によって、ユーザーが管理しなければならないアカウント数は増えた。これに伴い、同じパスワードの使い回しや、覚えやすさを重視した短く簡単なパスワードの利用といった「いい加減なパスワード管理」がセキュリティリスクの原因となっている。

　パスワード利用の安全性を高めたり、パスワードを使わない認証手法を採用したりするに当たって、どのような選択肢があるのか。本稿は、パスワードを「使うべき」か「使わないべき」かの視点で、リスクやツールに関する情報をまとめた。

パスワードの限界と管理の難しさ

併せて読みたいお薦め記事

フィッシングの手口は巧妙化している

• 「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない
• 多要素認証すり抜け攻撃「リアルタイムフィッシング」の手口　対策はパスキー？

　セキュリティの観点から、「複数サービスで異なる複雑なパスワードを使う」ことを求められている。しかし、現実には大半のユーザーがこの要求に応じきれず、結果としてセキュリティの脆弱（ぜいじゃく）性が生まれる。

　このような課題に応える手段として登場したのが、パスワード管理ツール「パスワードマネジャー」の利用だ。複数のアカウントのIDとパスワードを一括管理できるもので、ユーザーは一つの「マスターパスワード」を覚えておけばよい。そのため、セキュリティを確保しつつ、ユーザーにとっての利便性が向上する。

　しかし、セキュリティ専門家の中には、パスワードマネジャーは必ずしも安全ではないと指摘する人もいる。特に注意が必要なのは、パスワードマネジャーを標的にした攻撃だ。例えば、2022年にパスワード管理ツールベンダーLastPassのシステムに不正アクセスがあり、同社製品の一部のソースコードが流出した。2024年、IDおよびアクセス管理（IAM）ツールベンダーOktaは同社パスワード管理ツールに脆弱性を見つけたことを公開した（出典：パスワードを1つだけ覚えればいい「パスワードマネジャー」は安全じゃない？）。

　他にも、管理者側の誤設定や運用上の不備が攻撃を招くシナリオも考えなければならない（出典：“いい加減なパスワード管理”を防ぎ、不正アクセスのリスクを抑える基本の方法）。つまり、パスワードマネジャーは万能の解決策ではなく、ユーザー組織に「便利さ」と「潜在リスク」の両方をもたらす。

「パスワードレス認証」も選択肢に

　上記の問題を背景に、最近「パスワードレス認証」が注目されている。パスワードレス認証とは、パスワードそのものを使わず、顔や指紋といった生体認証やハードウェアキー、ワンタイムデバイスなどを用いる方式だ。

　パスワードレス認証のメリットは明快だ。ユーザーがパスワードを覚える必要がなくなることに加え、弱いパスワード使い回しパスワードによるリスクもなくせる。そもそもパスワードを使わなければ、パスワードを狙ったフィッシング攻撃のリスクは大幅に低減できる。

　パスワードレス認証の導入も広がりつつある。例えば、三菱電機はセキュリティデバイスベンダーYubicoのハードウェア認証キー「YubiKey」の導入を決定した。スマートフォンではなく、専用デバイスを使って多要素認証（MFA）を実装する。その理由として、スマートフォンの調達・配布にかかる費用の問題や、モバイルデバイスの持ち込み制限がある環境でも利用できることなど、スマートフォン認証の課題をまとめて解決できる点を評価したと同社は説明している。一方で記事では、YubiKeyのような専用デバイスを用いたパスワードレス認証は、フィッシング攻撃によるパスワード流出を防ぎやすいという利点も併せて紹介している。（出典：三菱電機が“脱パスワード”の切り札に「YubiKey」導入　なぜスマホでは駄目？）。

　ただし、現状では全てのサービスをパスワードレスに移行するのは容易ではない。互換性の問題や開発コスト、ユーザー側のデバイス管理、導入に対する心理的ハードルなどがあるからだ。実際、認証方式やデバイスの選択を間違えると、かえって利便性や安全性を損なう恐れもある（出典：パスワード卒業“究極”の切り札「パスワードレス認証」の失敗しない選び方）。

「パスキー」のメリット、デメリットとは

　パスワードレス認証のもう一つの選択肢として、「パスキー」（Passkey）もある。パスキーは認証関連の業界団体FIDO Allianceと、インターネット技術の標準化団体World Wide Web Consortium（W3C）が共同開発した仕組みで、パスワードを使わずにさまざまなアプリケーションやWebサイトにログインできる。（出典：パスワードはもう要らない？　「パスキー」の安全だけじゃない意外な利点とは）。GoogleやApple、Microsoftなどが支援している。

　パスキーのメリットとして、攻撃への耐性、パスワード管理の負担軽減、ユーザー体験（UX）の向上を挙げられる。一方でパスキーにはデメリットもある。生体情報のプライバシーに関する懸念や、デバイスへの依存だ。企業では、従業員が複数のデバイスやサービスを併用していることが一般的だ。そのため、複数のデバイス、サービス間でのパスキーの互換性が求められる（出典：パスワード不要の「パスキー」のメリットと“見過ごせない注意点”を解説）。

結論は

　結局のところ、パスワードを使うべきか、使わないべきかを一律に決めるのは現状難しい。対象サービスの重要度、ユーザーの利便性、コスト、システム全体の構成、といったことを考え、慎重に判断することが重要だ。

　高いセキュリティが求められる場合や、多数のアカウントを管理する必要があるケースでは、パスワードレス認証の導入が望ましいと考えられる。一方で、導入コストや互換性などの制約がある場合は、安全な使い方と管理方法を前提としたパスワード利用が依然として有力な手段になるだろう。

　つまり現時点では「パスワードを全面的に否定」するのではなく、「目的と状況に応じて適切な認証手段を選ぶ」という柔軟なアプローチが求められる。

（※）本記事はTechTargetジャパン、ComputerWeeklyなどの記事を基に、注目のITトレンドを紹介しています。