パスワードレス認証は、パスワードを入力する手間が省けるだけでなく、セキュリティの向上にも役立つ仕組みです。従来の主流だったパスワード認証から、なぜパスワードレス認証が注目されるようになったのでしょうか。
今回はパスワードレス認証の安全性の仕組みや、導入するメリット、注意点について解説します。
パスワードレス認証とはサービスにログインする際の認証方法
パスワードレス認証とは、インターネット上のシステムやサービスへのログインにおいて、文字・数字・記号を組み合わせた従来のパスワードを利用しない認証方法を指します。認証器(セキュリティキーなど)による所有情報や、本人の生体的特徴(指紋・静脈・網膜など)にもとづく情報などをユーザー認証に活用する点が大きな特徴です。
パスワードレス認証ではユーザーによるパスワード入力のプロセスが不要になるため、パスワードの漏洩による不正アクセスの被害を未然に防ぐ効果が期待できます。また、ユーザー自身がパスワードを管理する必要がないことから、ユーザーの負担が大幅に軽減される点も長所の1つです。
パスワードレス認証が必要になった背景
パスワードレス認証が必要になった背景は、従来から広く活用されてきたパスワード認証の脆弱性があります。パスワード認証では、ユーザー側と管理者側に次のような課題が指摘されています。
パスワード認証におけるユーザーの課題
パスワード認証におけるユーザーの課題は、パスワードを失念するリスクを懸念して覚えやすいパスワードを設定するケースが多いことです。ユーザー1人あたりが利用するシステムやサービス数が増加したことに伴い、ID・パスワードの組み合わせを入力する機会も増えつつあり、ユーザーによっては自身の誕生日や電話番号といった容易に思い出せる情報にもとづくパスワードや、「12345」「abcde」といった単純すぎる文字列で構成されたパスワードを設定することも多くあります。
また、ユーザーが、あるサービスで設定したパスワードを別のサービスでも使い回していることも、問題点のひとつです。万が一、パスワードが漏洩した場合、攻撃者はほかのサービスでも同一のパスワードによる不正ログインを試みる可能性があるため、パスワードの使いまわしは被害が拡大するおそれがあります。
パスワード認証における管理者側の課題
パスワード認証における管理者の課題は、セキュリティ対策と管理コストです。パスワード認証の多くは、IDとパスワードの1対1の組み合わせでしか対策できないため、パスワードが漏洩した場合、そのアカウントが直接的な危険にさらされます。パスワードが漏洩すると、すぐにパスワードの変更やアカウントの保護措置を講じる必要があります。大量のユーザーが影響を受ける場合、その対応に膨大なリソースが必要となるでしょう。
また、ユーザーが増えるにつれて、ユーザーがパスワードを忘れたとき再設定やリセットに対応する管理者のリソースやコストも増えていきます。
パスワード認証を狙ったサイバー攻撃の増加
パスワード認証は、膨大な数のシステムやサービスで採用されていますが、近年増え続ける多様なサイバー攻撃によって、パスワード認証だけではセキュリティが不十分となっています。パスワードを適切に管理できていない場合、以下のようなサイバー攻撃にあう可能性があります。
フィッシング攻撃
フィッシング攻撃は、偽サイトのログイン認証画面でパスワードを入力させる手口です。多数のユーザーを一度にターゲットにでき、メールやSMS、SNSなどで幅広く攻撃を仕掛けます。
クレデンシャルスタッフィング攻撃
クレデンシャルスタッフィング攻撃は、不正に入手したアカウント情報で他のサービスにアクセスする手口です。ユーザーが同じパスワードを複数のサービスで使い回している場合に有効な攻撃です。
パスワードスプレー攻撃
よく使われる一般的なパスワードを使って複数のアカウントにアクセスを試みる手口です。アカウントロックを回避しつつ、複数のアカウントにアクセスできる可能性を高めます。
参考:Identity is Key to Stopping These 5 Cyber Security Attacks
パスワードレス認証を導入するメリット
ユーザーと管理者の課題、さらにはパスワード認証を取り巻く環境の変化によって、パスワードレス認証が注目されるようになりました。パスワードレス認証の導入をすると、具体的に次のようなメリットが得られます。
セキュリティが向上する
パスワードレス認証は、所有情報や生体情報といった複製・偽造が困難な要素を複数組み合わせるとより強度の高いパスワードレス認証が実現できます。
パスワードレス認証は、パスワードそのものを使用しないため、パスワードを狙ったサイバー攻撃を回避するための有効なセキュリティ対策となりえます。前述のとおり、パスワードによる認証には複数の問題点があります。パスワードを窃取・推測するサイバー攻撃の手口も横行していることから、もはやパスワードによる認証が安全とは言い切れなくなっているのが実情です。
パスワード管理から解放される
パスワードレス認証の導入により、ユーザーの利便性を高めると同時に、わずらわしいパスワード管理の負担を軽減する効果も期待できます。ユーザーは自身が設定したパスワードを記憶しておく必要がなくなり、より手軽で確実な方法でログインできるようになるからです。近年は、業務で複数の端末やサービスを利用することも珍しくありません。各端末・サービスでパスワード管理から解放されることも、ユーザーにとって大きなメリットとなるでしょう。
業務効率化と生産性向上が実現される
業務の効率化や生産性向上に寄与することも、パスワードレス認証のメリットのひとつです。パスワードを入力して認証するという操作そのものは、数秒程度で完了するケースがほとんどでしょう。しかし、年単位で捉えた場合、相当な時間をパスワード入力のために費やしていることになるはずです。まして、パスワードを失念してしまったなどの理由から端末やサービスにログインできないことがあれば、業務効率を著しく低下させる要因にもなりかねません。ユーザーが素早くログインでき、入力ミスや失念によるストップがないパスワードレス認証は、業務効率の低下を回避するための対策としても有効です。
パスワードレス認証の種類
パスワードレス認証には、いくつかの種類があります。メールやSMSを利用するようなソリューションも利用できますが、ここでは昨今注目を浴びる2つのソリューションについて紹介します。
Okta FastPass
Okta Workforce Identity Cloudで提供されている認証方式「Okta FastPass」は、企業の従業員向けに使われることが多いパスワードレス認証の1つです。Okta FastPassの登録作業を行ったデバイスが所有要素となり、これを用いて認証するため、パスワードレスで認証を行うことができます。さらに、デバイスの生体認証機能と組み合わせて、多要素認証とすることも可能です。パスワードレスで便利に認証するだけでなく、MDM(モバイルデバイス管理)によって管理された端末であるか、デバイスのOS設定、サードパーティEDR製品との連携による情報などを認証条件として使うなど、企業に求められる高度な認証の仕組みを提供しています。
パスキー
パスキーは、生体要素と所有要素を使った、コンシューマーアプリ向けに使われることが多いパスワードレス認証です。FIDO2規格にもとづく二要素認証の1つで、公開鍵暗号方式を使用し、ユーザーのデバイスに保存された秘密鍵を利用して認証を行います。 パスキーは、指紋認証や顔認証、PINコードを使用して簡単に認証でき、スマートフォン、PC、タブレットなどのさまざまなデバイスで利用可能です。また、パスキーは秘密鍵がデバイスに保存され、サーバー側には保存されないため、サーバーへの攻撃によってパスワードが漏洩するリスクがありません。
パスワードレス認証を導入する際の注意点
多くのメリットを得られるパスワードレス認証ですが、導入に際して注意しておきたい点もあります。パスワードレス認証を導入する際の主な注意点は、次のとおりです。
パスワードレス認証を負担に感じるユーザーも存在する
パスワードレス認証はユーザーにとって負担の少ない認証方法とされているものの、あらゆるユーザーがそのメリットを実感できるとは限りません。例えば、マスクや帽子を着用していることで顔認証に失敗したり、認証のために複数のデバイスを持ち歩く必要に迫られたりする可能性もあります。パスワードレス認証の導入により、かえって手間が増えたと感じるユーザーも少なからず存在することを想定しておく必要があるでしょう。パスワードレス認証の導入がユーザーにどのようなメリットをもたらすのかを丁寧に伝え、理解を促していくことが大切です。
不具合や紛失でログインできなくなることもある
パスワードに代わる認証デバイスに不具合が発生した場合や、認証デバイス自体を紛失してしまった場合、端末やサービスにログインできなくなるおそれがあることもデメリットといえます。例えば、スマホを持たずに外出した際、専用認証アプリを使用できないためサービスにログインできない、といった状況も起こりえるでしょう。万が一の事態に備えて、メインの認証方法に代わる別の認証方法を用意しておくことが重要です。
パスワードレス認証と多要素認証(MFA)の違い
多要素認証(MFA:Multi Factor Authentication)とは、パスワードに代表される「知識情報」、ワンタイムパスワードやスマートフォンへのプッシュ通知などの「所有情報」、指紋や顔認証を用いた「生体情報」の3つの要素を組み合わせることで、本人確認の安全性を高める認証方法です。一方、パスワードレス認証とは、特定の要素の組み合わせが必須ではなく、単一認証要素も含まれます。
サービスによっては利便性を重視したパスワードレス認証方式を利用されるケースもありますが、今後はセキュリティ面を考慮した多要素認証の要件を満たしたパスワードレス認証の採用が必要になってくるでしょう。
多要素認証について詳しくはこちらをご覧ください。多要素認証(MFA)とは?二段階認証との違いや仕組みを解説
パスワードレス認証を使ってサイバー攻撃から情報を守ろう
サイバー攻撃の手口が複雑化・巧妙化の一途をたどっている今日、パスワードレス認証はセキュリティ対策の一環として取り入れておきたい対策の1つといえます。パスワードレス認証は普及しつつあるものの、クラウドサービスやウェブサービスなどでは依然として主流とはいいがたいのが実情です。セキュリティレベルやユーザーの利便性の向上を実現するためにも、パスワードレス認証の導入を検討することをおすすめします。
OktaのCustomer Identity Cloudは、マジックリンクのメール送信やワンタイムパスコード(OTP)、ソーシャルログイン、パスキーなどさまざまなパスワードレス認証方法を提供しているプラットフォームです。従来のパスワードによる認証から、パスワードレス認証へのスムーズな移行を支援します。パスワードレス認証の導入を検討されている事業者様は、ぜひ「Customer Identity Cloud」の活用をご検討ください。