パスワードレス認証に注目

ID/パスワードを使った認証は、第三者にパスワードが漏れてしまうと「不正アクセス」を許すリスクにさらされます。悪意のある不正アクセスから個人や企業の重要な情報や資産を守るため、パスワードを使わずに認証を行うパスワードレス認証が注目されています。パスワードレス認証とは、パスワードを使わずに、生体認証や所持など複数の認証要素を利用して、パソコンやクラウドサービス、Webサービス等にログインすることを指します。

「生体認証」など多要素認証(MFA)によるリスク低減

パスワードが盗まれやすい背景には、ID/パスワード認証が人間の記憶に依存していることがあります。オンラインサービスの普及に伴い、一人で数多くのアカウントを保持するケースが一般的になっています。数多くのアカウントのパスワードを複雑化し、それぞれを覚えておくことは極めて難しいと言えます。

だからといって、覚えやすい簡単なパスワードを使ったり、複数のアカウントで同じパスワードを使い回ししたり、忘れないようにアカウントごとのパスワードを記載するなどの方法を取ることによって、パスワードを忘れてしまうリスクは減るものの、第三者の手に渡り、不正アクセスを許すリスクは高くなってしまいます。

こうしたリスクを低減する方法として普及が進んでいるのが多要素認証(MFA)です。多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証することを指します。「知識情報」とはパスワードや暗証番号などを指し、「所持情報」とはICカードやセキュリティトークンなどの所持を、「生体情報」とは指紋認証や顔認証などを指します。これらを組み合わせることで、セキュリティのレベルを高めることが可能になります。

セキュリティと利便性と両立する認証規格「FIDO」のパスワードレス認証を活用

最近は「FIDO」のパスワードレス認証を利用することにより、セキュリティの強度を高める企業が増えています。「FIDO」とは、パスワードを使わずに認証を行うための技術開発と標準化を進めるための団体「FIDO(Fast IDentity Online)アライアンス」が、パスワードに代わる新しい認証技術として「FIDO」を標準規格化しています。

FIDOアライアンスがWebの標準化団体W3Cと共に策定し2018年にリリースした最新の認証技術が「FIDO2」であり、FIDO2は生体認証デバイスなどを利用し、主要なWebブラウザ(Edge、Chrome、firefoxが対応)を通じたオンラインサービスへの安全なログインを実現します。

FIDO2によるパスワードレス認証がセキュリティを高める理由は、本人情報をデバイス内で確認し、その結果だけをサーバに送るため、生体情報がネットワークに流れたり、サーバに保存されることがないことにあります。

FIDO2に対応した認証デバイスは、「Windows10」など一般的に使われているさまざまな端末の認証セキュリティとして利用することができることも特徴です。このため、FIDO2のパスワードレス認証を勧めるセキュリティ企業が増えています。

パスワード管理のストレスからの解放

パスワードレス認証を採用するメリットは、不正アクセスを許すリスクを軽減できることだけでなく、パスワードを使わない認証によってパスワードを忘れてしまうこともなく、第三者に盗まれるリスクもなくなります。さらに、生体情報を含めた多要素認証による本人確認を行うことでセキュリティも高まります。

従来通りパスワードを使った認証を継続したほうが、ユーザのストレスが少なくて済むという考え方もあるかもしれません。しかし、パスワードレス認証を採用することで、パスワードを複雑化したり、一定期間でパスワードを変更するなど、パスワード管理に関わる労力やコストを節約することが可能になります。

企業では、ユーザとセキュリティ管理者の双方にとって、パスワードの管理は大きなストレスです。パスワードレス認証によって、ユーザは煩わしいパスワード管理から解放されます。高いセキュリティを確保しながら、端末やクラウドへの認証に戸惑うこともなく、本来やるべき仕事に集中できるので生産性の向上も期待できます。一方システム管理者にとっても、認証の失敗に伴うアカウントロックへの対応やパスワードの再設定などの手続きにかける労力を大幅に減らすことが可能になります。

FIDOに準拠した認証セキリティデバイス





関連記事

多要素認証(MFA)にはクラウドで

Microsoft Office 365の多要素認証(MFA)について

Authenticatorアプリの代替機を使った多要素認証(MFA)

Salesforceの多要素認証(MFA)の設定方法

Google/Microsoft/Salesforceなど、各種MFAのAuthenticatorについて

Amazon Web Services(AWS)MFAを必須化

コピープロテクトに最適なUSBドングル

PCI DSS v4.0への更新で重要性増す多要素認証(MFA)

Microsoft Entra ID – Azure ADから名称変更

情報セキュリティが脆弱に!BYODのデメリットとは