トピック
パスキー認証の誤解を解く:企業のセキュリティを変える未来の鍵・パスキー
- 提供:
- 株式会社インターナショナルシステムリサーチ(ISR)
2023年11月27日 09:00
パスワードレス認証は、従来のパスワード認証の代替手段として急速に広まっているセキュリティ技術です。中でもパスキー認証はパスワードに置き換わるFIDOの認証資格情報を利用したパスワードレス認証で、Phishing Resistant MFA(フィッシング耐性のある多要素認証)と呼ばれており、一般的なMFAを超える次世代の認証となっています。
2023年10月10日、Googleはパスキーを個人ユーザーのアカウントのデフォルト(初期設定)オプションとして提供するという発表をしました。これにより、パスキー認証が私達にとって、より身近なものになっていくことが予想されます。
しかし、企業の状況を見てみると、積極的にパスキー認証を採用しようとする企業はまだまだ限られています。経費管理のSaaSサービスを提供するSAP Concurは2023年10月18日から全ユーザーに対して多要素認証を義務付けていますが、このように自社で利用するサービスで多要素認証の必須化が実施されるというような必要性がない場合、企業が導入を先延ばしにしてしまうのも事実です。というのも、多くの企業では、自社の情報セキュリティリスクを管理する仕組みにおいて、パスワード以外の認証方法を検討することはまだ一般的ではないからです。まず、私達はこの考え方の変革を促進する必要があると考えています。
この記事では、パスキー認証に関する誤解に焦点を当てるため、まず、導入を決断するときに重要な要素であるコスト面にまつわる誤解について説明します。また、通常、パスキー認証は生体認証というイメージが一般的ですが、実際にはPINコード(Personal Identification Number)を使用したパスキー認証も可能です。そのため、PINの安全性に関する誤解や、安定的な認証の機会を確保するためのバックアップの重要性についてもお話ししていきたいと思います。
パスキー認証に関するコスト面の誤解
まずコストに関する誤解を解いていきましょう。パスキー認証の導入を考えた際、何が必要で、どの程度の費用がかかるのかが不透明なため、それなら社員に配布しているスマートフォンを使ったSMS認証を導入したほうがコストは抑えられるだろうと考えるシステム管理者様の声を聞くことがあります。しかし、実際は以下の利用環境が整っている場合、パスキー認証を導入するのに必要な要件はすでに備わっています。
●Windows PC(Windows 10 Version 1903以降)を利用している
●Touch ID搭載の Mac PC(macOS Big Sur)を利用している
●iOS(iOS 14/iPadOS 14以降)やAndroid(Android 7.0以降)などのスマートデバイスを社員に配布している、もしくは私物利用を許可している
もし、上記のような環境が整備されていない場合、新たに生体認証が搭載されたノートパソコンへの入れ替えやスマートデバイスを用意すると、その分コストが発生します。その場合は外付けの認証器であるセキュリティキーを購入することをおすすめします。FIDO2に準拠したセキュリティキーは1個あたり大体6,000円から入手が可能で、スマートフォンのように月額費用も発生しないためコストを抑えられます。
以前は、企業が生体認証を導入する場合、必ず外付け認証器を購入する必要がありました。しかし、現在では、多くのノートパソコンやスマートデバイスにカメラや指紋認証機能が標準装備されており、そのほとんどがFIDO2に準拠しています。したがって、セキュリティキーの購入を最小限に抑えることができる場合が多いです。
これらを考慮すると、SMS認証とパスキー認証のデバイスにおける導入コストを比較した場合、大きな違いはないことがわかります。
PINの安全性に関する誤解
次に、PINの安全性についてお話ししたいと思います。皆さんはパスキー認証にPINを使うことについて、どのように考えますか?PINは単純な数字の組み合わせで脆弱だし、PINを使用するくらいなら、むしろ複雑で長い文字列のパスワードを利用したほうが安全だという意見を聞くことがあります。しかし、実際はPINを用いたパスキー認証はパスワードと比べると高い安全性を提供します。PINとパスワードの違いは、文字列の長さや複雑さの問題ではなく、その性質と保存場所に関連しています。
まず、パスワードは認証の際、ネットワークを通じてサーバーに送信されるため、その過程で盗まれる可能性があります。さらに、ハッカーのサイバー攻撃によってサーバーに保存されているパスワードが盗まれ、悪用される危険性もあります。一方、PINは紐づいたデバイス内で安全に保存されており、外部に送信されないため、盗まれることはありません。
また、パスワードは盗まれるとオンライン上のどこからでもアカウントに対して不正アクセスが行われる可能性がありますが、PINによるパスキー認証の場合は、紐づいたデバイスとPINの両方が揃っていないとアクセスができない仕組みのため、どちらも盗まれてしまわない限りは第三者が不正アクセスすることはできません。このように、PINを用いたパスキー認証はパスワードに比べて遥かに安全性が確保されており、生体情報と同等の本人確認手段として信頼性を持っているのです。
アカウントリカバリーを万全にし、アベイラビリティ(安定的なサインイン機会)を確保する
今日のビジネス環境は、デジタル化やクラウド化が進み、情報へのアクセスが不可欠です。ビジネスにおいて、利用するクラウドサービスにサインインができないことで情報へのアクセスが制限されると業務が中断し、損害を被る可能性が高まります。そのため、アカウントリカバリーを万全にして、アベイラビリティ(安定的なサインイン機会)を確保しておくことは重要です。
パスキー認証は冒頭で述べたように「フィッシング耐性のある多要素認証」であり、一般的なMFAを超える次世代の認証です。多要素認証は、2つ以上の要素を用いて認証を行いますので、最初の要素である所持情報としてパスキーが保存された端末を利用し、その端末を所持している本人確認として2つ目の要素が必要となります。ここでせっかく2つ目の要素としてPINによる認証が使えるのにも関わらず、PINの安全性に不安を抱き、生体情報しか登録できないと考えるシステム管理者様もいらっしゃいます。
もし、2つ目の要素に生体情報を利用する認証器しか登録していない場合、怪我などにより生体認証の読み取りに不具合が起こるとクラウドサービスにアクセスができず、業務に影響を及ぼしてしまいます。そのような状況に陥った際のバックアップとしてPINを用いる認証器を登録しておくことは、業務を中断させないようにする上で必要不可欠です。
企業におけるパスキー認証の推進を支援
パスキー認証が注目を浴びる中、自社への導入を検討しているものの導入方法について迷っている管理者様も多いでしょう。しかし、私達ISRが提供するアイデンティティ管理プラットフォームCloudGate UNOを導入することで、簡単にパスキー認証の導入が実現できます。CloudGate UNOはクラウド運用に必要なシングルサインオンやアクセス制限などの機能を一元化し、セキュアなワンストップサインインを可能にするクラウドセキュリティサービスです。
ISRは2014年にFIDOアライアンスに加入して以来、パスワードを使用しない認証の重要性を追求し、2019年5月からCloudGate UNOの機能の1つとしてFIDO2によるパスワードレス認証を提供し、2020年12月からは全てのプランでご利用いただけるようになっております。現在、FIDO2に対応したクラウドサービスが限られている中、CloudGate UNOを導入することで、FIDO2非対応のクラウドサービスや社内システムでも簡単にパスキー認証を利用できます。CloudGate UNOは企業の大切な情報資産を守りながら、パスキー認証による利便性を実現します。
まとめ
パスワードレス認証、特にパスキー認証は、新たなセキュリティ技術として個人ユーザーの間(BtoC市場)で急速に広まっており、従来のパスワード認証に代わる強固な認証方法として注目されています。しかしながら、企業(BtoB市場)においては、様々な要因からパスキー認証の導入検討にとどまっているのが現状です。
この記事では、パスキー認証に関する誤解に触れることで、企業がパスキー認証の導入を推進する一助となればと考えています。CloudGate UNOのお客様の間でも、パスキー認証についてのお問い合わせを頂く機会が増えており、頂いたご質問をまとめたQ&Aページも設けております。詳細は以下のリンクをぜひご覧ください。