ニュース
ISR、パスワード認証の課題とパスキー認証導入の障壁について説明 B2C市場で広がるパスキーの導入事例も紹介
2023年9月29日 06:30
株式会社インターナショナルシステムリサーチ(以下、ISR)は28日、「企業におけるパスワードレス認証導入の障壁とは?~便利で安全、でも切り替えが進まないワケ~」と題した記者説明会を開催した。今回の説明会では、パスワード認証が抱える問題と「パスキー」による認証のメリット、およびB2C市場での「パスキー」の導入事例を紹介するとともに、一般企業内部におけるパスワードレス認証導入の障壁について解説した。
まず、パスワード認証が抱える課題として、利便性の面から「ユーザーのパスワード忘れ」と「入力の手間・時間」の2点を挙げた。管理するパスワードが多すぎて覚えておけないなどの要因から、パスワード忘れが発生し、情報システム部門ではパスワードリセットの依頼や問い合わせへの対応が必要となる。また、複数のクラウドサービス利用によるパスワード入力時間の積み重ねや、入力ミスによる再入力の手間が発生する。
さらに安全性の面からは、「パスワードの漏えい」と「簡易なパスワードの設定・使いまわし」の2点の課題を挙げる。パスワードでは、漏らした認証情報を第三者に悪用され、不正ログインによる機密情報の漏えいにつながる可能性がある。また、複雑で長いパスワードの設定や使い分けが面倒などの理由により、第三者が推測できる簡易なパスワードを使っていたり、使いまわしているパスワードがほかから流出して悪用されたりする可能性があるという。
これに対して、パスワードを使わず、より安全で便利なパスワードレス認証を実現するのが「パスキー」だ。ISR 代表取締役のメンデス・ラウル氏は、「パスキーの認証は、端末内部のニューロチップ上で生体情報を処理し、認証結果のみを暗号化してサーバーへ送信する仕組みのため、フィッシング耐性に優れている。また、『生体認証を利用するため記憶に頼ることがない』、『認証情報は認証器内部に保管されるため外部に出ない』、『顔や指紋をかざすだけで簡単にログインできる』といったメリットによって、パスワード認証の課題をすべて解消できる」と説明した。
パスワードに比べて安全性も利便性も優れているパスキーの認知度は徐々に広がりつつあり、大手ベンダーもパスキーのサポートを続々と発表している。Googleでは、5月3日に個人のGoogleアカウントの追加サインインオプションとして、パスキーのサポートを開始することを発表。6月6日には、企業向けであるGoogle Workspaceでもパスキーによる認証が可能となったことを発表している。
Appleでは、9月18日にリリースしたiOS 17でパスキーに関する新機能を搭載。パスワードとパスキーをグループで共有可能となった。iCloudキーチェーンを通じて行われるため、エンドツーエンドでの暗号化を実現する。また、Apple IDにパスキーのサポートを追加。Apple IDを持つユーザーには自動的にパスキーが割り当てられ、パスワードの代わりにFace IDかTouch IDを使用して生体認証でのログインが可能となった。
Microsoftでは、9月26日に提供開始したWindows 11のアップデートでパスキーに対応。Windows Helloでパスキーを作成すると、顔、指紋、またはデバイスのPINを使用してWebサイトやアプリケーションにアクセスが可能になる。さらに、Windows PCに保存されたパスキーを管理したり、携帯電話に保存されたパスキーを使ってサインインが可能になるという。
また最近では、B2Cサービス企業において、提供するECサイトやアプリケーションへのパスキー導入が増え始めているという。今回、B2C市場でのパスキー認証の導入事例として、グローバルなECサイト「eBay」と金融技術プラットフォーム「Intuit」の事例を紹介した。eBayでは、「悪意ある攻撃者に対して脆弱なサイトになっている」「ユーザーが常にパスワードを忘れ、リセットしている」といった課題を抱えていたという。この課題に対して、セキュリティとユーザビリティを両立できるパスワードレス認証として、FIDO認証の展開を決定。あわせて、パスキーを使ったログインにも対応した。
Intuitでは、「ログオン時に摩擦を感じ、主要なビジネス指標に悪影響を与えていた」「サインインに成功するまでの時間が長くなり、アカウントのサインインに関連する問題でカスタマーケアに寄せられる電話が増加していた」という課題を抱えていた。この課題に対してIntuitは、まず自社でFIDOベースの認証を導入。2018年にはFIDO認証プラットフォームのライセンスを取得し、Nok Nok labsのパスワードレス認証ソリューションを段階的に顧客に提供開始した。そして、今年8月に公開したブログで、パスキーの対応についても準備を進めていることを明らかにしたという。
ラウル氏は、「このように、B2C市場ではパスキー認証の導入が広がりつつある一方で、一般企業の内部においてはいまだにパスワードによる認証が主流になっているのが実情だ。一般企業では、新しいソリューションを導入する際に、『課題の認識』『対策ソリューションの調査』『ソリューションの比較・検討』『導入決定』という4つのステップがあるが、パスキー認証については、多くの企業でまだステップ1の段階にとどまっている」と指摘する。
ISRのシングルサインオン(SS0)ソリューション「CloudGate UNO」におけるパスキーの利用状況を見ると、2022年10月から2023年8月までの11か月間でパスキーの利用ユーザー数は3.14倍に増加している。しかし、ユーザー数全体の中では、けして大きな数値とはいえないという。
一般企業でパスワードレス認証の導入が進まない理由について、ISRでは、「パスワードが危険だとわかっていても、使い慣れているものを使い続けてしまう」「パスワードとどう違い、どのくらい安全性が高まるのかがわからない」「手間がかかりフィッシング耐性もない方法だが『パスワード+OTPという方法を知っているから』という理由でそちらに移行してしまう」「自分ごとにならないと動き出さない/必要に駆られないと動き出さない」「上層部への提案、説明が難しい。理解を得るのが大変」といった点を挙げている。
パスキー認証の今後の展望についてラウル氏は、「認識不足や新しいものへの抵抗感によって、なかなか一般企業での導入が進まないパスワードレス認証だが、SalesforceがMFA(多要素認証)の使用を義務付けたことを機に、流れが変わってきたと感じている。CloudGate UNOユーザーにおいても、SalesforceのMFA必須化をきっかけにパスワードレス認証への移行を進めた企業が増えてきている。これにともないパスキー認証の導入機運もさらに高まると見ており、今後2年でステップ2、ステップ3へと急速に導入ステージが進んでいくと考えている」との見解を示した。