Oktaが100%パスワードレスを目指す理由
10年前、セキュリティ専門家は5月の第1木曜日を新しい祝日と宣言しました。World Password Dayは、パスワードの変更を促す年1回の注意喚起のためのものでした。また同時に、パスワードの基本的な欠陥の一つを黙認することにもなりました:パスワードの有効性を維持するためには、頻繁にパスワードを変更する必要があるということです。
それ以来10年間、ログインの状況はより複雑になっています。セキュリティの脅威は成熟してきており、フィッシング攻撃は増加し、より巧妙になっています。一方、パスワードのルールはより厳しくなっており、特殊文字、大文字、長さなどに関する要件は常に変化しています。当然ながら、多くのユーザーは、パスワードに関する複雑なルールに不満を感じ、管理しなければならないユーザー名とパスワードの数の多さに圧倒されていると報告されています。
近年、認証の技術革新は目覚ましいものがありますが、2023年現在、私たちはまだパスワードに悩まされています。セキュリティや使い勝手に制約があるにもかかわらず、なぜパスワードはこれほどまでに支持されているのでしょうか?そして、パスワードのない未来はどのようなものなのでしょうか。
パスワードがなぜ使われ続けてしまうのか
Oktaの最高情報責任者として、OktaのWorkforce Identity Cloud ユーザーの多くが、高信頼性でフィッシングに強いソリューションを採用しているにもかかわらず、パスワードを使い続けていることを目の当たりにしています。お客様からは、いくつかの説明をいただきました:
- パスワードはリスクを許容するものである。その欠点はともかく、今日のパスワードは既知の存在です。ITチームは、パスワードの実装と管理方法を知っています。エンドユーザーは、パスワードの作成方法、回復方法、リセット方法を知っています。顧客やユーザーがいる場所で対応したいと考える企業にとって、パスワードが持つ親しみやすさは、そのリスクをも上回ることがあります。不完全ではあっても、パスワードは根強いものなのです。
- 代替案が不明確である。また、組織は、認証に対する他のアプローチに慣れていないかもしれません。パスワードレス化は、現在実行可能な選択肢というよりも、未来のユートピア国家のように思えるかもしれません。そして、新しい道を歩み始めるにはどうしたらいいのかわからないのでしょう。
- 変わることは難しい。変化には常に摩擦がつきものです。パスワードベースの認証アプローチから他のものに移行するには、時間と技術的な努力、そしてユーザーの行動の進化が必要です。意思決定者の中には、変化に対する抵抗が強すぎる人もいます。
パスワードレスへの道
そんな中、Oktaでは1年以上前にパスワードレスへの旅に出ることを決意しました。そして、まだ100%ではありませんが、その過程でいくつかの教訓を得たことは確かです。
フィッシング耐性はビジネス価値をもたらす
パスワードは、フィッシングの被害に遭いやすく、常にセキュリティ上の課題を抱えています。このようなフィッシングの脅威を発見し、対処するためだけに多大な時間と費用を費やさなければならない私たちのような企業にとって、これは大きな負担となります。実際、IBMによると、フィッシングに基づくデータ侵害の平均コストは、2022年に491万ドルに達したといいます。
一方、パスワードレスフローは、定義上、攻撃者が傍受できるパスワードが存在しないため、本質的にフィッシングに強いと言えます。企業は、フィッシング攻撃を軽減するために費やさなければならない時間や費用をすべて取り戻すことができます。つまり、パスワードレスにすることで、真のビジネス価値を提供できるのです。
セキュリティ OR ユーザビリティ?は誤った認識
より安全な認証は、ユーザーエクスペリエンスを犠牲にするというのが、これまでの常識でした。しかし、パスワードレスにすることで、Oktaの社員やお客様により良い体験を提供することができています。認証プロセスからパスワードを取り除くことで、ユーザーの時間を節約し、フラストレーションを軽減し、ログイン失敗率を下げることができます。
当社独自のデータに基づく近刊のOktaレポートは、これらの主張を裏付けています。Oktaは多くのログインを管理していますが、フィッシングに強いパスワードレスオーセンティケーター(認証器)機能「Okta FastPass」を使ってパスワードなしでログインすると、パスワードでログインする場合の3分の1以下の時間でログインできることが確認されています。また、職場でパスワードを使ったログインが8%以上失敗するのに対し、FastPassを使ったログインはわずか1.6%と、80%の改善が見られました。
100%にするために
Oktaでは、パスワードレス化への道を大きく前進させました。この道では、私たちが使用するすべてのアプリやサービスを、フィッシングに強いポリシーと一致するようにアップデートしています。これらのポリシーは、エンドユーザーがリソースにログインする際に、WebAuthnやOkta FastPassなど、少なくとも1つのフィッシング耐性ファクターを使用することを求めています。私たちはその進捗を常に確認し、現在、この重要な目標の達成に向けて80%以上の進捗を達成しています。
これまでに行ったステップは以下の通りです:
- セキュリティチームと連携し、Okta DevicesやOkta ThreatInsightなどの新しいZero Trust Architecture(ZTA)機能を展開し、ユーザーやデバイスのセキュリティを継続的に監視できるようにする。
- エンリッチされたシグナルを使用し、フィッシングに強い要素を優先する認証ポリシーを再定義する。
- 製品チームやエンジニアリングチームと連携し、100%パスワードレスでフィッシングに強いログインフローを実現する上で障害となるような、現在のプラットフォームのギャップを明らかにします。
お客様自身のパスワードレスへの旅をサポートする
最終的には、Oktaの従業員もお客様も、完全にパスワードレスで利用できるようにしたいと考えています。私たちは、Okta FastPassのような新しい製品やソリューションでそれを実現しています。また、私たちがパスワードレス化に向けて行っているプラットフォームの改良は、お客様にとってより簡単に進む道を提供することができるはずです。
新しいプラットフォーム機能を追加しました:
- フィッシングに強い認証情報のブートストラップの簡素化
- 主要なデスクトップおよびモバイルプラットフォームにおけるフィッシングに強いフローに対応する。
- 各顧客のパスワードレス要件に柔軟に対応し、多様なパートナーとの統合が可能なテクノロジーニュートラルなプラットフォームを提供し続ける。
また、今後「Path to Passwordless」のプレイブックを作成し、お客様と共有することで、お客様にとっての道しるべを提供する予定です。
パスワードレスの前進
社内では、パスワードレスのアプローチについて、社員から圧倒的な評価を得ています。例えば、Okta FastPassで指紋を使ってアプリやアカウントにアクセスすることは、特に移動中にはるかに便利だと社員は感じているようです。
このような生体認証は、WebAuthn や Okta FastPass などの標準ベースのアイデンティティ・フローを介して、Touch ID、Face ID、Windows Hello などのプラットフォームオーセンティケーター(認証器)機能を使用する高保証でフィッシングに強いサインオンポリシーと組み合わせることもできます。
このようなイノベーションの数が増えているにもかかわらず、今日のほとんどのアイデンティティおよびアクセス管理ソリューションは、少なくとも部分的にはパスワードに依存しています。パスワードレスの導入は、プラットフォームベンダーとデバイスメーカーが、復旧、発行、拡散防止に関する標準的なフローを揃えることで、より容易になるでしょう。また、パスキーのような消費者中心の技術は、Touch IDやWindows Helloが生体認証を民主化したように、パスワードなしの認証情報の使用をさらに民主化するのに役立つでしょう。
ITリーダーとして、パスワードのない世界に停滞したり、恐れたりしている場合ではありません。そのためには、過去から脱却し、新しい手法を取り入れ、進化していかなければなりません。そうすることで、私たちの組織は、パスワードレスシステムのビジネス的なメリットを享受できるようになります。
Oktaでパスワードレスを実現する方法について、詳しくはこちら(英語記事)をご覧ください。