トピック
パスワードレス認証に対応する時代へ
~実は誰でも簡単に導入・利用できる~
- 提供:
- 株式会社インターナショナルシステムリサーチ(ISR)
2023年4月20日 09:00
パスワードを使用しない新たな認証方法として登場し、日本の社会でも徐々に浸透しつつある「パスワードレス認証」。近年、MacBookやWindows PC、iPhoneなどの最新機器では、PCやスマートフォンへのアクセスの際に、このパスワードレス認証を利用するケースが広がってきています。
しかし、増加はしているものの、クラウドサービス、WEBサービスにおけるパスワードレス認証はまだ主流となっておりません。特に、機密情報を扱う企業では、セキュリティの観点からパスワードレス認証サービスの導入が迫られていますが、まだまだパスワードを必要とする認証方法を使用している企業が多数あります。
「パスワードレス認証」というと、IT管理者から一般の社員の方まで、「仕組み、導入が難しい」「操作を覚えるのが大変」「本当に安全なのか」など、意識的にハードルが高くなってしまう方もいるかと思います。
今回は、パスワードレス認証を導入した際の操作はとても簡単であり、ITの専門知識がない管理者の方でも、基礎的なITリテラシーがあれば誰もが操作できることをお伝えします。
また、パスワードレス認証の安全性について心配される方もいますが、パスワードを使用しないパスワードレス認証が安全な認証だと誰もが理解できるように解説いたします。
パスワードを使用しない!パスワードレス認証とは
パスワードレス認証のメリット
パスワードレス認証とは、多要素認証(MFA)の一種で、脆弱なパスワードを利用せず、認証器で生体情報やPINコードによる認証をすることで、クラウドサービスやWebサービスにログインします。
「PINコードはパスワードと同じではないのか」と思う方もいるかもしれませんが、PINコードは個人識別番号と呼ばれ、ローカルの認証で利用されています。パスワードとは違ってネットワーク上に流れない、流していけないものとなっているため、攻撃される危険性が削減されます。
パスワードによる認証の一番の問題は、「パスワードが盗まれてしまう」ことです。盗まれたパスワードが不正利用され、被害が甚大になってしまう最悪のケースもあります。しかし、パスワードレス認証では、パスワードの盗用という不正な手口が利用できなくなり、また生体情報などで本人確認の厳密化を行うため、不正利用のリスクを軽減できます。
また、「パスワードを覚える」「パスワードを複雑化する」「パスワードを定期的に変更する」「パスワード忘れによる新しいパスワードの設定」など、企業においては利用するユーザーも管理者も、目には見えづらい多くの時間を割いていますが、単純にパスワードレスになれば、認証にかける時間を削減できます。
パスワードを使わなくなれば、パスワードに苦しむことがなくなり、また認証においてはパスワードに代わる生体情報という簡易な方法でアクセスができるためユーザーにとってストレスを感じず快適に利用ができるようになります。
FIDO2によるパスワードレス認証
現在では、パスワードを使わない本人の確認が行える数多くの仕組みが登場していますが、FIDO2によるパスワードレス認証を利用することでより安全で強固な認証が行えるようになります。
FIDO2によるパスワードレス認証では、ユーザー端末からサーバーに返される署名は、端末内蔵のセキュリティチップ(TPMやセキュアエレメント)を使用してサーバーからのチャレンジを暗号化することで作成されます。FIDO2認証で暗号化に使用される秘密鍵は端末外に出ることがないため、第三者が再現することは不可能であり、フィッシングや中間者攻撃を防ぐことに繋がります。
本人情報をデバイス内で確認した結果だけがサーバーに送られるため、生体情報がネットワークに流れることもサーバーに保存されることもありませんので、パスワード認証では課題となるセキュリティリスクが低くなります。
様々なデバイスに備わっているFIDO2認証
FIDO2対応ソリューション
・セキュリティトークン
本人の確認を指紋で行うものと、PINコードで行うものがあります。PC端末やモバイル端末にUSB/NFC/BLE(Bluetooth Low Energy)を使用し、接続して確認が行えるものがあります。
・Windows 10/11
本人の確認を顔スキャンで行うことができ、Windows 10のMay2019 Update(バージョン1903)以降であれば、パスワードなしで利用できます。
・MacbookやiOSデバイス
2020年からmacOS Big Sur/iOS 14/iPadOS 14以降のMacBook、iPhone、iPadなどに搭載されたTouch ID、Face IDをFIDO2対応認証器としてご利用いただけます。
・Android
Android 7.0以降のAndroid端末では搭載された生体認証機能などを利用することでFIDO2認証がご利用いただけます。
最新機器に備わっている認証スペックを活かせていないのは、もったいない!
近年、パスワードを使用した認証がリスクであると知られるようになってきましたが、最新のPCやスマートフォンには、Face IDやTouch IDのような生体認証がデバイスの機能として備わっているケースが増えてきています。
セキュリティキー等の認証器以外にも、みなさんがお使いのMacBook、Windows 10/11、Android、iPhone、iPadといったほぼすべての端末でFIDO2認証を利用することができます。そのため、企業のニーズに合わせてビジネスでも便利かつ安全なパスワードレスログインを実現できます。MacBookの指紋センサーやWindows PCの指紋センサー・カメラに生体情報(指紋/顔)をかざすだけでログインができるなど、パスワードを入力するような手間がかからず、利便性に優れています。
しかしせっかくの機能を活かすことなく、いまだにパスワードを使用した認証を続けている企業が多く存在します。最新の機器には、増加傾向にあるサイバー攻撃から情報を守るため、高性能な認証の仕組みが導入されています。セキュリティの攻撃が巧妙になってきている今日、あなたのPCが狙われないとは限りません。機密情報を扱っていないから大丈夫と思っている方もいるかもしれませんが、あなたのPCから侵入し、そこからあなたの会社の機密情報まで攻撃者がアクセスする可能もあります。
そういったリスクを回避するためにも、すでに備わっている機能を利用しない手はないので、サイバー攻撃から守るためにも、認証スペックを活かせる「パスワードレス認証」の使用を検討するべきでしょう。
CloudGate UNOでパスワードレス認証を利用する
パスワードレスの設定はとても簡単!1つの設定の変更で劇的に変わる
CloudGate UNOでは、複雑な操作は必要なく、管理画面上でユーザープロファイルの設定を切り替えるだけで、ユーザーのパスワードレス認証を有効にすることができます。
認証方式をパスワードレス認証に設定変更することでFIDO2認証が有効となり、たった数回のクリックで劇的に認証システムを変化させることができます。
パスワードレス認証方法
PC端末でCloudGate UNOへログインする際、「セキュリティ強化のため、パスワードを使わずに生体認証を適用したいけれども、手持ちのPC端末には認証機能が搭載されていない」というケースは少なくないでしょう。
その対応策としてUSBタイプの外付け認証器を購入・社員へ配布する方法が考えられますが、購入コストや備品としての管理などの手間がかかります。そこでもう一つの方法として挙げられるのが、スマートフォンに搭載の生体認証機能を利用する方法です。CloudGate UNOではパスワードレス認証として2つの選択肢をご用意しており、いずれもスマートフォンを利用した認証によるログインが可能です。
・CloudGate Authenticator
CloudGate UNO専用アプリ「Pocket CloudGate」の認証機能。スマートフォンに届くポップアップ通知を開き、顔/指紋認証を行います。
・FIDO2
セキュリティキーを使った認証や端末搭載の認証器(Touch ID / Face ID / Windows Hello)による認証ができます。
また、「パスキー」と呼ばれる認証方法のひとつであるPC画面上に表示されるQRコードを利用することで、スマートフォン上で生体認証を行い、そのPCでログインを完了させることも可能です。
パスキーとは、Apple、Google、Microsoftがサポートを公表した、パスワードに代わる新しい認証方法です。Webサイト等へログインするための認証方法として、端末に登録したTouch ID / Face IDを利用することができます。また、同じOSを搭載する端末間で認証資格情報を同期できることから、端末毎に認証情報を登録する必要もありません。しかし、端末やブラウザ、OSでパスキーのサポートが進んでも、Webサイトやサービスでのパスキー対応が進まなければ意味がありません。CloudGate UNOでは以前よりFIDO2認証の提供を行なっていたため、FIDO規格に準拠しているパスキーにも対応しております。
BtoCサービス提供企業においても、ヤフーの「Yahoo! JAPAN ID」やKDDIの「au ID」がパスキーによる認証に対応したことを発表しているほか、NTTドコモも2023年4月5日から「dアカウント」のログイン方法の一つとしてパスキー認証の提供を開始したことから、今後パスキー対応サービスは増えていくと考えられます。
管理者画面(サイト)で簡単にセキュリティプロファイルの設定が可能に
Cloud Gate UNOでは、管理者画面から簡単にアクセス制限をかけられます。アクセス条件の優先順位を決めるだけで端末の制限が容易に行えます。
営業部署の社員は外出先でも使えるが、オフィス勤務中心の部署の社員は社内のネットワークからのみ利用を許可する制限をかけるなど、細かな設定も簡単に行えます。
最後に
私たちはCloudGateサービスを提供するうえで、常にSecurity Firstの考え方と「全力でお客様の情報資産を守る」という経営理念に基づいた開発・運用・サポートを行なっています。
2019年5月からFIDO2に対応したパスワードレス認証の提供を開始、2020年12月からは全てのプランでパスワードレス認証の標準提供を開始しており、従来のパスワードを中心とした認証からMFAやパスワードレス認証への移行とその普及に取り組んでいます。
パスワードレス認証は、一見難しそうで導入のハードルが高そうに思えますが、先般の話のとおり、想像以上に簡単な操作で行えることがお分かりいただけたかと思います。また、パスワードレス認証の導入はITに強くない人にとっても、パスワードを覚える必要や紛失するリスクもなく、直感的に操作できるため、導入のメリットが高い認証方法であると言えます。大切な情報を守るため、パスワードレス認証の導入を検討してみてはいかがでしょうか。