パスワードはなぜ死んだか 情シスが今すぐ始めるパスキー移行の現実解:87%の企業が導入意向
巧妙化するフィッシング攻撃に、パスワードはもはや無力と言わざるを得ない。企業の87%が導入を検討する「パスキー」は、強固なセキュリティと利便性向上を両立する切り札だ。段階的にパスキーを展開するための具体的な移行ロードマップを解説する。
CISO(最高情報セキュリティ責任者)は、エンドユーザーが設定する脆弱(ぜいじゃく)なパスワードが攻撃者に簡単に解読されるなど、人的要素が企業のサイバーセキュリティ防御において最も脆弱な要素になり得ることを認識している。より強固な代替手段を求めて、セキュリティチームはパスキーへの移行を進めている。
エンドユーザーが作成するパスワードとは異なり、パスキーはデジタル生成される暗号化資格情報で、IAM(アイデンティティーアクセス管理)戦略の一環として機能する。パスキーは生体認証を利用し、スマートフォンなどのデバイスやハードウェアトークン内に保存される。サーバを介して通信するのではなく、認証サービスを通じて検証される仕組みだ。
パスワード対パスキー:より安全な選択肢
編集部のお薦め記事
パスキーは脆弱なパスワードに代わる手段となる。それだけでなく、生体認証やデバイスベースの暗号鍵を使用するため、フィッシングなどのソーシャルエンジニアリングで情報を奪うことが極めて困難だ。
指紋認証やデバイスのPIN入力などの選択肢により、ログインを効率化できる。多くのセキュリティツールで求められる追加の手順も不要だ。アクセスセキュリティを強化しつつ、ログインプロセスを簡素に保つことができる。ユーザーは複雑なパスワードを覚える必要がなく、頻繁なパスワード変更に悩まされることもない。
デジタル認証を活用するパスキーは、セキュリティと使いやすさの両面で、パスワードが抱える固有の弱点を解消する有効な選択肢だ。
エンタープライズパスキーの台頭
FIDOアライアンスがセキュリティ意思決定者400人を対象に実施した調査では、企業の87%がパスキーの導入を進めていることが判明した。
移行を後押しする要因の1つは、ゼロトラストセキュリティの重視だ。認証と検証が完了するまでリソースへアクセスさせない考え方が浸透している。
規制要件への対応やデジタルアイデンティティーの保護に対する圧力も、パスキー普及の理由だ。パスキーは厳格なアクセス制御を可能にし、コンプライアンスを証明するために必要な監査ログも提供する。
多くの先進的なアイデンティティー管理システムは、モバイル認証や生体認証スキャナーといったパスキー技術に対応している。これはモバイルやクラウドを活用する組織にとって重要な検証ポイントとなる。従来のパスワードよりも強力な統制が可能だ。また、リソースへのアクセスに最低2つの認証要素を求める多要素認証(MFA)とも連携できる。
導入を成功させるロードマップ
意思決定者は、企業用パスキー(エンタープライズパスキー)と個人用パスキー(コンシューマーパスキー)のどちらを導入するか、あるいは両方を採用するかを選択する必要がある。
企業用パスキーは、機密情報や価値の高いリソースにアクセスする従業員、請負業者、パートナーが主に対象となる。シングルサインオン(SSO)や管理ツール、社用デバイス、ポリシー適用といった既存のインフラやポリシーと連携させることが必要だ。
個人用パスキーは、主に顧客や購読者などの外部ユーザー向けだ。内部ユーザーも、外部のデジタルプラットフォームにアクセスする際に必要となる場合がある。ログインやリセット時の利便性が重要だが、相互運用性とプライバシーの確保を重視すべきだ。
ハイブリッド環境では、内部ユーザーがSaaSツールやコラボレーションプラットフォームを利用するために個人用パスキーを使うケースも想定される。企業用と個人用のシステムをシームレスに統合すれば、ユーザー体験(UX)を向上させ、セキュリティも強化できる。
段階的な展開の計画
CISOは、段階的なアプローチを検討すべきだ。まずは少人数のグループでパイロット運用を実施し、UXの測定と技術セットアップの検証を行う。その後、対象を広げながらセキュリティ性能を確認していく。全従業員へ展開する前に、役員やIT管理者、機密システムへのアクセス権を持つ職員など、リスクの高いグループから開始するのが定石だ。
請負業者や外部パートナーが社内リソースにアクセスする場合、それが社用デバイスか私物デバイスかにかかわらず、より厳格で詳細なポリシーの適用を検討する。
顧客や購読者では、リスクプロファイルや居住地域、規制要件、取引量などを評価して展開を判断する。最終的には、パスキーが全員のデフォルト認証システムとなる「完全展開」を目指す。
プロバイダーの評価方法
プロバイダーを選定する前に、認証要件やユーザー層、コンプライアンス、重要なアプリケーション、ITインフラを考慮した内部ニーズの評価を行う。この際、コンプライアンスチームや事業部門のリーダーを巻き込むことが肝要だ。評価完了後、技術要件やサポート体制、実績に基づいて候補を絞り込む。デモや限定的なパイロット導入、既存顧客へのヒアリング、レビュー調査などが判断の助けになる。その他の考慮事項は以下の通りだ。
- FIDO2やWebAuthnなどの業界標準への対応
- 資格情報、デバイスバインディング、データの強力な暗号化
- MFAのサポート
- 既存システムとのスムーズな統合
- プラットフォームやデバイスをまたいだ機能性
- パスワードからパスキーへの容易な移行
- プライバシーおよびデータ保護法への準拠
- サブスクリプションやライセンスのコスト構造
- 運用の変化に合わせたスケーラビリティ
エンタープライズパスキー導入の4ステップ
大規模なセキュリティ導入と同様に、CISOとIT・セキュリティチームは計画的な実装を進める必要がある。
- ステップ1.既存のIAM戦略を見直す
現在のIAM技術を評価し、どこにパスキーを統合するのが合理的かを見極める。業務文脈のアクセス権限と認証方法を確認する。権限が広すぎないか、認証プロセスは規制要件を満たしているか、円滑な導入に向けた変更点は何かを精査し、ビジネス目標と一致させる。
- ステップ2.経営陣との合意形成
各事業部門のステークホルダーと対話し、推進役を確保して予算を取り付ける。予算獲得と長期的なセキュリティ施策の推進には、経営陣の支持が必要だ。
- ステップ3.アクセスツールの更新
MFAを未導入の組織は、パスキー採用の前に生体認証やデバイスベースのMFAを導入すべきだ。これにより、ユーザーを新しいログインプロセスに慣れさせることができる。セキュリティチームにとっても、パスキー展開前にさまざまな認証方法をテストする機会となる。
- ステップ4.インフラの評価
プロビジョニングの自動化や資格情報のリセット、セルフサービス機能の実装には、管理型の認証サービスが適している。データ保護やエンドポイント暗号化、デバイス管理のレベルを判断するためにインフラを評価する。パスキー導入後に必要となるデータ損失防止(DLP)ルールの更新も検討する。
導入の障害
技術的な障害として、レガシーシステムとの不整合が挙げられる。一部のアプリケーションやデバイスはパスキーに未対応で、アップグレードには多額の費用と複雑な工程を伴う。また、アカウントのロックアウト(締め出し)も懸念材料だ。バックアップやリカバリー、フォールバック(代替)認証プロセスを事前に構築しておく必要がある。
ユーザーからの抵抗に遭う可能性もある。明確な指示とデモンストレーション、継続的なサポートを提供することで、登録プロセスを円滑に進めることが可能だ。
成功の指標
導入の成功は、パスキーの利用状況で測定できる。登録ユーザーの割合を監視すること。ただし、真の成果は情シスやセキュリティ部門が享受するメリットに現れる。
やがてヘルプデスクへのパスワードリセット依頼は減り、フィッシングやアカウント乗っ取りといったインシデントの報告も減少するはずだ。現在の脅威環境で、それはより安全なビジネス環境の実現を意味する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
パスキーにすれば全て解決? 多要素認証やパスワードと「安心」「不便」を比較する
MFAやパスキー導入が進む中、「ログインできない」といった混乱はITの現場で見られる光景だ。認証技術の進化とその現実から、安全と利便性のバランスを取るための検討軸を紹介する。
パスワード使い回しは8割超 危険な運用をやめない人々の胸の内
複数のWebサービスでパスワードを使い回す行為は、連鎖的な不正アクセスの元になり得る。トレンドマイクロの調査は、多くの利用者がパスワード管理に苦悩し、アナログな手法に頼っている実態を浮き彫りにした。
「多要素認証(MFA)なら安全」は幻想か セッションを盗む“リアルタイムフィッシング”の脅威
多要素認証(MFA)を入れたから安心という思い込みが、企業の命取りになり得る。認証後のクッキーを奪い取る「リアルタイムフィッシング」と、その対策とは何か。
「123456」をまだ許容するのか? 最弱パスワードが示す“情シスの敗北”
世界で最も使われているパスワードは、2025年も「123456」だった。なぜユーザーは脆弱な文字列を使い続けるのか。その責任を「社員のリテラシー」に押し付けないためにIT部門がやるべきことは。