ISR、パスワード認証の課題とパスキー認証導入の障壁について説明　B2C市場で広がるパスキーの導入事例も紹介

　株式会社インターナショナルシステムリサーチ（以下、ISR）は28日、「企業におけるパスワードレス認証導入の障壁とは？～便利で安全、でも切り替えが進まないワケ～」と題した記者説明会を開催した。今回の説明会では、パスワード認証が抱える問題と「パスキー」による認証のメリット、およびB2C市場での「パスキー」の導入事例を紹介するとともに、一般企業内部におけるパスワードレス認証導入の障壁について解説した。

　まず、パスワード認証が抱える課題として、利便性の面から「ユーザーのパスワード忘れ」と「入力の手間・時間」の2点を挙げた。管理するパスワードが多すぎて覚えておけないなどの要因から、パスワード忘れが発生し、情報システム部門ではパスワードリセットの依頼や問い合わせへの対応が必要となる。また、複数のクラウドサービス利用によるパスワード入力時間の積み重ねや、入力ミスによる再入力の手間が発生する。

　さらに安全性の面からは、「パスワードの漏えい」と「簡易なパスワードの設定・使いまわし」の2点の課題を挙げる。パスワードでは、漏らした認証情報を第三者に悪用され、不正ログインによる機密情報の漏えいにつながる可能性がある。また、複雑で長いパスワードの設定や使い分けが面倒などの理由により、第三者が推測できる簡易なパスワードを使っていたり、使いまわしているパスワードがほかから流出して悪用されたりする可能性があるという。

　これに対して、パスワードを使わず、より安全で便利なパスワードレス認証を実現するのが「パスキー」だ。ISR 代表取締役のメンデス・ラウル氏は、「パスキーの認証は、端末内部のニューロチップ上で生体情報を処理し、認証結果のみを暗号化してサーバーへ送信する仕組みのため、フィッシング耐性に優れている。また、『生体認証を利用するため記憶に頼ることがない』、『認証情報は認証器内部に保管されるため外部に出ない』、『顔や指紋をかざすだけで簡単にログインできる』といったメリットによって、パスワード認証の課題をすべて解消できる」と説明した。

インターナショナルシステムリサーチ 代表取締役のメンデス・ラウル氏

　パスワードに比べて安全性も利便性も優れているパスキーの認知度は徐々に広がりつつあり、大手ベンダーもパスキーのサポートを続々と発表している。Googleでは、5月3日に個人のGoogleアカウントの追加サインインオプションとして、パスキーのサポートを開始することを発表。6月6日には、企業向けであるGoogle Workspaceでもパスキーによる認証が可能となったことを発表している。

パスワードとパスキーの仕組みの違い

　Appleでは、9月18日にリリースしたiOS 17でパスキーに関する新機能を搭載。パスワードとパスキーをグループで共有可能となった。iCloudキーチェーンを通じて行われるため、エンドツーエンドでの暗号化を実現する。また、Apple IDにパスキーのサポートを追加。Apple IDを持つユーザーには自動的にパスキーが割り当てられ、パスワードの代わりにFace IDかTouch IDを使用して生体認証でのログインが可能となった。

　Microsoftでは、9月26日に提供開始したWindows 11のアップデートでパスキーに対応。Windows Helloでパスキーを作成すると、顔、指紋、またはデバイスのPINを使用してWebサイトやアプリケーションにアクセスが可能になる。さらに、Windows PCに保存されたパスキーを管理したり、携帯電話に保存されたパスキーを使ってサインインが可能になるという。

　また最近では、B2Cサービス企業において、提供するECサイトやアプリケーションへのパスキー導入が増え始めているという。今回、B2C市場でのパスキー認証の導入事例として、グローバルなECサイト「eBay」と金融技術プラットフォーム「Intuit」の事例を紹介した。eBayでは、「悪意ある攻撃者に対して脆弱なサイトになっている」「ユーザーが常にパスワードを忘れ、リセットしている」といった課題を抱えていたという。この課題に対して、セキュリティとユーザビリティを両立できるパスワードレス認証として、FIDO認証の展開を決定。あわせて、パスキーを使ったログインにも対応した。

「eBay」のパスキーを使ったログインイメージ

　Intuitでは、「ログオン時に摩擦を感じ、主要なビジネス指標に悪影響を与えていた」「サインインに成功するまでの時間が長くなり、アカウントのサインインに関連する問題でカスタマーケアに寄せられる電話が増加していた」という課題を抱えていた。この課題に対してIntuitは、まず自社でFIDOベースの認証を導入。2018年にはFIDO認証プラットフォームのライセンスを取得し、Nok Nok labsのパスワードレス認証ソリューションを段階的に顧客に提供開始した。そして、今年8月に公開したブログで、パスキーの対応についても準備を進めていることを明らかにしたという。

　ラウル氏は、「このように、B2C市場ではパスキー認証の導入が広がりつつある一方で、一般企業の内部においてはいまだにパスワードによる認証が主流になっているのが実情だ。一般企業では、新しいソリューションを導入する際に、『課題の認識』『対策ソリューションの調査』『ソリューションの比較・検討』『導入決定』という4つのステップがあるが、パスキー認証については、多くの企業でまだステップ1の段階にとどまっている」と指摘する。

　ISRのシングルサインオン（SS0）ソリューション「CloudGate UNO」におけるパスキーの利用状況を見ると、2022年10月から2023年8月までの11か月間でパスキーの利用ユーザー数は3.14倍に増加している。しかし、ユーザー数全体の中では、けして大きな数値とはいえないという。

「CloudGate UNO」におけるパスキー利用ユーザーの推移

　一般企業でパスワードレス認証の導入が進まない理由について、ISRでは、「パスワードが危険だとわかっていても、使い慣れているものを使い続けてしまう」「パスワードとどう違い、どのくらい安全性が高まるのかがわからない」「手間がかかりフィッシング耐性もない方法だが『パスワード＋OTPという方法を知っているから』という理由でそちらに移行してしまう」「自分ごとにならないと動き出さない／必要に駆られないと動き出さない」「上層部への提案、説明が難しい。理解を得るのが大変」といった点を挙げている。

　パスキー認証の今後の展望についてラウル氏は、「認識不足や新しいものへの抵抗感によって、なかなか一般企業での導入が進まないパスワードレス認証だが、SalesforceがMFA（多要素認証）の使用を義務付けたことを機に、流れが変わってきたと感じている。CloudGate UNOユーザーにおいても、SalesforceのMFA必須化をきっかけにパスワードレス認証への移行を進めた企業が増えてきている。これにともないパスキー認証の導入機運もさらに高まると見ており、今後2年でステップ2、ステップ3へと急速に導入ステージが進んでいくと考えている」との見解を示した。