ITセキュリティ女子のブログ

  • 認証
  • ID管理
2022.10.31

パスワードレス時代到来!今からできる最適な認証強化の選択肢

パスワードレス時代到来!今からできる最適な認証強化の選択肢

みなさんこんにちは。長谷川まりです。
クラウドシフトに親和性のある認証基盤として、IDaaSを検討されている方も多いかと思います。また認証に伴う課題の解決策として、シングルサインオンや多要素認証のほか、パスワードレスという選択肢が気になる方も多いのではないでしょうか。今回は、いずれ到来すると考えられるパスワード不要の世界を見据えた、今からできる認証強化の実現方法についてご紹介します。


パスワードレスが注目されている背景

まずパスワードレスが注目されている背景に、パスワードそのものが脆弱性となることがあります。パスワード認証は以下「認証の3要素」の記憶情報、つまり本人しか知らない情報による認証方法で、一般的によく使われているとはいえ、パスワードを管理する主体がユーザーであることが、脆弱性に繋がってしまいます。

認証の3要素

認証の3要素

パスワードは大抵の場合、ユーザー自身が記憶し管理できる文字列を設定しますが、ユーザーが簡単なパスワードを設定してしまうと、ちょっとコンピュータを利用すれば、辞書攻撃や総当たり攻撃などで容易に推測できてしまいます。また、もしユーザーが複数のパスワードを使いまわしていれば、他で漏れたパスワードを流用したパスワードリスト攻撃やパスワードスプレー攻撃で、攻撃者に不正ログインされるリスクが高まります。

パスワードの脅威

パスワード攻撃のイメージ

このようなリスクは、オンプレミス中心のクローズドな環境がメインだった頃は、境界防御のセキュリティ対策で顕在化しにくいものでした。しかしクラウド利用が主流になりつつある今、ログインがインターネット上で可能となることで不正ログインもしやすくなり、あらゆるシステムの入り口となる本人確認がセキュリティ上、大きな意味を持つようになりました。

多要素認証とパスワードレス

そこで本人を確認する認証の強化が必要となりますが、対策としてまず考えられるのが多要素認証です。多要素認証とは、認証の3要素(所持情報、記憶情報、生体情報)のうち、複数を組み合わせて認証を強化する方法です。ただしID、パスワードに加えて例えばワンタイムパスワードを入力するといった操作が必要になるので、ユーザーにとって負荷は上がります。また、パスワードを忘れないよう、簡単なパスワードを設定されたり、使いまわしをされたりするリスクは残ってしまいます。

そこでパスワードを排除し、なおかつより高いレベルで本人であることを証明できるパスワードレスが求められてきました。古くから各社、様々な方式を打ち出していましたが、企業が採用するには既存環境に与える影響も大きく、ハードルが高い状態が続いてきました。ただ最近では、FIDO2の仕様に基づいたパスワードレス認証の規格と、マイクロソフト社、アップル社といったOSベンダー側での対応方法が充実してきたことで、特に「yahoo!」などの一般コンシューマ向けサイトで現実的な利用が始まっています。事前に登録された機器と認証情報を連携することで、パスワード管理と入力が不要となるのです。

FIDOの概要

FIDOの概要

企業のパスワードレス化はまだこれから?

ただ、パスワードレスの企業利用が進むためには、既存環境への影響のほか、対応デバイスの導入や準備といったコスト課題も大きいと言えます。パスワードレスでは指紋認証やWindows Helloを利用した生体情報による認証、スマートフォン等の別デバイスに通知を送って対応を促すといった、所持情報による認証を利用します。これらのどのような情報を利用して本人確認を行うのかを整理するとともに、必要なデバイスを従業員に貸与し運用するための準備が必要となり、いきなりの全社導入というのはハードルが高そうです。

そこで将来的なパスワードレス化も見越した、今からできる現実的な認証強化策としては、多要素認証との併用が考えられます。例えば以下のように、ユーザーによって認証方法を分ける方法です。

2.は実際に導入が多い多要素認証パターンです。なぜ社給デバイスなのかというと、日本企業では業務端末を貸与するケースが多く、個人+「社給デバイス」の組み合わせで会社の資産内で保護領域をしっかり作りたい要望が強いためです。ユーザーはパスワードでのアクセスを行いますが、社給デバイスに限定することで、パスワード漏洩リスクが削減できます。このようなパスワードレスと多要素認証との併用は、DX推進を背景に、システムをセキュアにかつ効率的に利用したい企業にはお奨めの選択肢と言えます。

パスワードレス

パスワードレスに親和性の高い認証基盤

また、パスワードレス化を見据えた認証基盤としてはIDaaSの導入がお奨めです。基本的にシングルサインオン(SSO)ですべての認証の入り口を一つに統合し、そのSSOへのログイン部分で、パスワード以外の認証方式をスムーズに採用できるからです。選定には以下をポイントにすると良いと思います。

  • 安定して稼働しているサービスであること
  • 様々なサービスとの連携機能を持っていること
  • 幅広く機能を用意し、認証方式に豊富な選択肢を検討できること

残念ながら会社支給のデバイスでも、ソフトウェアのアップデートが徹底されていない、OSのパッチが適用されていない、などのリスクがあります。セキュリティ対策が不十分な会社支給デバイスがマルウェア感染し、ネットワーク経由で社内リソースにマルウェア感染拡大…といったことが考えられます。デバイスの状態が果たして安全なのかも、認証の要素に加えたいところです。

これらのリスクを解消する現実解として、多要素認証としてのデバイス認証が選ばれています。多要素認証とは、少なくとも2種類以上の異なった要素で本人確認を行うことですが、一つ目の要素に従来のID、パスワード認証、二要素目に、上記リスクを解消するためのデバイス認証を組み合わせるのが良いでしょう。ではそれは、どのように実現できるのでしょうか。

そのほか、サービスを継続して安定的に利用するためには、以下の要素も見ておくと良いかもしれません。

  • サービスの運用体制が整っている(セキュリティリスクへの対応、バージョンアップ頻度)
  • それなりの規模の会社である(買収されない、サポート対応がしっかりしている)

アシストが取り扱っているOktaは、SAMLだけでなくOIDC、WS-Federationにも対応しており、アプリケーションとの連携テンプレートは7,300(2022年8月時点)を超える業界随一のIDaaSです。また、13の認証機器、18の認証要素をサポートしており、勿論パスワードレスでの認証も、7種類の方式を提供しています。Oktaは直近の認証強化も、将来的なパスワードレス化も、高いレベルで実現できる認証基盤となるはずです。

対応しているパスワードレス認証方式と実現の仕組みについては、以下の動画からぜひご覧ください。

【Okta 紹介】Oktaで実現するパスワードレス(4分38秒)

まとめ

以上のように、パスワードレスを見据えた認証強化と認証基盤についてご紹介しました。

  • クラウドシフトにより認証強化の重要性が高まっている
  • 認証強化はユーザー負荷面からパスワードレスも視野に入れたい
  • 全社導入が難しい場合は社給デバイスによる多要素認証併用パターンがお奨め
  • パスワードレスを視野に入れた認証基盤はOktaがお奨め

パスワードレスはセキュリティの固定概念を変える大きな変革だと思います。この変革期を捉えた認証基盤の構築はチャンスとも言えます。方法はぜひアシストにご相談ください。これからのDX推進を見据えた様々な選択肢をご提案いたします。

記事でご紹介したOktaについては、下記製品ページから概要がつかめます。
全体像のほか、今回ご紹介したパスワードレス認証を含む機能別に、3分~5分程度の動画をどなたでもすぐに視聴できますので、ぜひご覧ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • ID管理
2022.10.25

図説!AWSの安心運用に「特権ID管理」が効く理由

AWS、Azure、Googleなど、クラウドインフラを利用する企業が増えています。そこで今回はクラウドサービスの中でもシェアの高いAWSに注目し、安心してAWSを運用する秘策「特権ID管理」について、わかりやすく図を使って解説します!

  • 認証
  • ID管理
2022.08.16

IDaaSに加えてデバイス認証が求められる理由

ID管理とシングルサインオン(SSO)を目的にIDaaSを導入、検討されるお客様が増えています。今回はアシストならではの認証強化の現実解をご紹介します。

  • ID管理
  • 認証
2021.12.08

リモートアクセスで対応できる業務を増やしたい! (後編)セキュリティ強化後の利用イメージ

「リモートアクセスで対応できる業務を増やしたい!前編」でご紹介したリモートでサーバにアクセスする方法の、サーバ作業者のオペレーションについて、実際の手順イメージをご紹介します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る