トピック

MFAを標準装備に、パスキーの登場でパスワードレス認証の普及は加速する

MFA(多要素認証)は名前の通り複数の認証要素を掛け合わせる方法のため、そのパターンは様々です。主な要素としては、パスワードなどの知識情報、スマートフォンやセキュリティキーなどの所持情報、指紋や顔などの生体情報の3つがあります。

ISRでは刻々と変わる国際情勢やサイバー攻撃の動向、働き方の変化などに常に注目し、「Security First」に基づいた新たなサービスや機能の開発・運用・提供を行なっています。そのようななかで、昨今のサイバー攻撃の激化やテレワークの定着を受け、より厳密なユーザー認証を行う方法として生体情報を利用したMFAの導入を推奨しています。

前回のブログでは、端末に搭載のセキュリティチップ内に認証情報を保管し、端末内蔵の認証器で顔や指紋などの生体認証を行う、ハードウェアベースの認証によるセキュリティ強化についてお伝えするとともに、9月にリリースしたばかりのハードウェアベースのデバイス証明書「CloudGate証明書」をご紹介しました。

ハードウェアベースの生体認証を用いたMFAは、厳密なユーザー認証を実現するだけでなく、フィッシングなどによる認証情報が窃取される被害を防ぐことにも繋がります。

今回は、FIDOの進歩によって今年発表された、手軽に強固なMFAを実現でき、今後のMFA普及に大きく貢献すると考えられる「パスキー」についてご紹介します。

また、米国で開催されたイベント「Authenticate 2022」内でCISA(サイバーセキュリティ・インフラセキュリティ庁)の長官が行なった講演の内容についてもご紹介しますが、より強固なMFAを可能とするFIDO認証や、MFAの必須化など、講演の中で述べられている内容はISRが約1年半前からこのクラウドWatchでお届けしてきた内容と大きく重なる部分があります。

FIDO2の進化 - パスワードレス時代に新たな風

2022年の3月までにFIDOアライアンスとW3CのWeb認証作業部会で提案された改善案には、2つのとても重要な内容が含まれています。

1.スマートフォンをローミング認証器として利用
2.マルチデバイス対応FIDO認証資格情報(マルチデバイスFIDOクレデンシャル)

1つめの「スマートフォンをローミング認証器として利用」とは、既に多くの人が持っているスマートフォンをBluetoothを利用してPCと接続し、PCのブラウザでの認証に利用できるようにする機能です。例えば、iPhoneのTouch IDやFace ID、Androidの生体認証を、PCのWeb認証時の認証器として利用できるようになります。

2つめの「マルチデバイス対応FIDO認証資格情報(マルチデバイスFIDOクレデンシャル)」とは、一般的にパスキーと呼ばれています。

プラットフォーム認証器の認証資格情報はこれまで、その端末でしか利用できないものでした(例えば、iPhoneのTouch IDはそのiPhoneの認証にしか利用できないということです)。しかし、このパスキーが実装されると、PCとスマートフォンのような異なるデバイス間で安全に認証情報を共有できるようになり、端末の切り替え時や一時的な端末の貸出などのシーンでも認証情報の登録をし直す手間が大きく軽減されます。

この2つの機能については、既にAppleでは公開されており、GoogleとMicrosoftの両社も、Googleは数ヶ月、Microsoftは2023年以内にパスキーサポートに改良を重ねてリリースすると予想されます。

パスキー利用エピソード
ここで、全社的なMFA導入を検討している、とある社長のエピソードを見てみましょう。

私はある会社を経営している。
最近のサイバーセキュリティ関連のニュースから、MFAの重要性は認識しているものの、導入コストや管理コストがそれなりに掛かること、設定時や認証時の操作に難があることなどから導入を見送っていた。
しかし、社内を見渡すとPCのモニタや机にパスワードが書かれた付箋を貼っている社員が目立つ。
多少面倒でもMFAを強制するか、しかし強制すれば社員に余計なストレスを与えることにもなる、というジレンマがあった。

そんな時、Apple社の製品でパスキーをサポートするというニュースを見て、これだと思った。
パスキーを生成するとiPhoneのTouch IDやFace IDによる認証を、AirDrop経由でMacのSafariでの認証に利用できるようになる。
それではパスキーではなく、OSの異なるWindows端末でGoogle Chromeブラウザを利用する場合はどうか。
ちゃんと仕組みが用意されていた。
表示されたQRコードをスマートフォンで撮影して紐付けることで、Bluetoothを利用してパスキーでの認証を行うことができる。
AirDropもBluetoothも近距離の通信でしか利用できないので、違う場所にいる攻撃者が通信を傍受することもない。

我社はメインのMFAの手段としてこの方法を採用することにした。
普段から利用していたスマートフォンの生体認証なので、追加の導入コストもなく、社員も当たり前のようにMFAを実践できているようだ。

パスキーはCloudGate UNOでも利用可能

パスキーは、すべてのFIDO2認証器との互換性があります。したがって、現在FIDO2を使用している場合、それはパスキーであり、今後さまざまなサポート機能が導入されるにつれて認知度は高まっていくでしょう。

私たちISRは「Security First」をモットーとしており、CloudGate UNOは以前からFIDO2認証をサポートしているため、パスキーもこれに含まれるようになります。また、現在ご提供しているCloudGate UNOのすべてのプランでMFAをフルサポートしているため、価格面での障壁はありません。

すべてのデバイス、ブラウザ、OSでパスキーがフルサポートになるまでにはもう少し時間がかかりそうですが、現時点でCloudGate UNOでご利用いただけるパターン例をご紹介いたします。

パスキーを使ったCloudGate UNOへのサインイン方法
(Windows 10, Google Chromeブラウザ/iOS 16搭載iPhoneの場合)
①PC端末上でユーザー名を入力し、認証器選択画面でFIDO2を選択します。
②「QRコードでスマートフォンを使用する」を選択します。
③画面上にQRコードが表示されます。
④スマートフォンでQRコードを読み込み、表示されるボタンをタップします。
  • ⑤事前にスマートフォンでのパスキー登録が済んでいる場合には、スマートフォンに内蔵の認証器(Face ID / Touch ID)で認証を行うだけでPC端末上でのサインインが完了します。

CloudGate UNOユーザーにとっては、パスワードレスのセキュリティを実装するために、すべてのデバイス、ブラウザ、OSでパスキーがフルサポートとなるのを待つ理由はありません。パスキーのフルサポートを待たなくても、FIDO2やPocket CloudGateでMFAを有効にするだけで、すべての接続アプリケーションでパスワードレスを実現することができるからです。パスワードを使用するよりもはるかに安全で、手や顔をかざすだけの簡単な動作で認証を完了することができるため、企業の生産性向上にも繋がるでしょう。

大手ベンダーが推し進めるMFA導入の義務化

Authenticate 2022では、米国政府のCISA長官Jen Easterly氏とシニアテクニカルアドバイザー・Bob Lord氏が登壇しました。Easterly氏は、すべての組織とユーザーに対してMFAを有効にするよう求める啓発キャンペーンを主導しており、講演内で「私たちは、すべてのテクノロジー企業に対し、MFAを標準的なオプションとして利用できるようにすることを強く求めています」と述べました。
MFAの中でも、彼女は「MFAのゴールドスタンダードであり、フィッシングに強い認証である」としてFIDOにスポットライトを当てています。

また、彼女はProofpointが発表した脅威に関するレポートを引用し、管理者や経営者はMFAユーザーの10%に過ぎないが、最も深刻な攻撃リスクの50%近くを占めているとの指摘があることを紹介しました。

さらに、安全のためにシートベルトが標準装備されており、ドライバーにその着用義務が課せられている自動車メーカーを例に挙げ、テクノロジーベンダーにおいてもユーザー企業が安全性について気に掛けずに済むよう、フィッシング耐性のあるMFAを標準装備として提供することを求めました。安全性を維持する責任をユーザーが負うのではなく、ベンダーに移すことを推奨しています。

CISAのシニアテクニカルディレクターのBob Lord氏は、ベンダーに対して、MFAを有効にするようエンドユーザーに積極的に「働きかける」よう呼びかけました。以下はベンダーに対する要望です。

ベンダーに対するMFAの要望

1.MFA統計の抜本的な透明性の確保
2.エンドユーザーにMFAを利用するよう積極的に働きかける
3.システム管理者が100%MFAを採用するよう積極的に働きかける(特にFIDO)
4.管理者は、意味のある統計と採用を促進する行動計画によってユーザーを誘導する(例:「ここをクリックして、MFAに登録するようMFAを敬遠している人たちに再マインドしてください」)
5.MFAを採用する企業にとって価格的な障壁がないことを確認する
6.顧客データを含む社内システムに対して、100% FIDO認証を強制する。信頼できるプロバイダーであるためには、フィッシングに強いMFAを使用すること

最後は、「ベンダーが顧客のセキュリティの成果に対して責任を持ち、顧客の苦しみの傍観者にならないためには、どのようなことが必要なのでしょうか?」という言葉で締めくくられています。

一方で、ユーザー企業自身も行動する必要があるとして、CISAは中小企業向けの行動計画を提示し、あらゆる企業がセキュリティ体制を向上させるために取ることのできる具体的なステップを紹介しています。

私たちISRもCISAの意見に全面的に賛同しています。生体認証による強固なMFAの提供・導入は必須にすべきであると考えており、シートベルトの例や、ベンダーがユーザーの安全性に責任を持つべきであることなど、約1年半前からブログという形で発信し続けています。今回のCISAの講演についてはISRのウェブサイトでもご紹介しておりますので、詳しく知りたい方はこちらをご覧ください。

ISRではSecurity Firstの考えのもと、FIDO Allianceに加盟した2014年から社内システムのすべてにおいてFIDO規格に基づくパスワードレス認証を実現しています。このように早い段階からMFAの必須化やパスワードレス認証の普及が重要であることを認識し、社内に導入するだけでなく、社会へ向けてブログという形で情報を発信してきました。今後も日本をサイバー攻撃の脅威から守るため、セキュリティ強化のために価値ある情報を発信してまいります。