1. はじめに
利用が一般化され、誰もがあって当たり前だと感じている「パスワード」。
そもそもパスワードの問題やパスワードを使わない場合の利便性を考えたことがありますか?
パスワードの認証は、「利用している本人が本人であることを証明するための仕組み」であり、それが漏れてしまえば「不正アクセス」の危険にさらされます。最悪の場合、個人の生活が脅かされるだけでなく、企業においては大切な資産が危険にさらされ、企業経営が脅かされることもあるでしょう。そこで、パスワードレス認証を利用すること、特にFIDO2によるパスワードレス認証を企業で活用することをお勧めします。
このブログではパスワードの問題点からパスワードレス認証がなぜ必要なのかをメリットも含めご紹介します。
2. パスワードの問題とは?
「簡単に盗まれてしまう」これこそが問題です。そして、盗用されたパスワードが不正利用され、被害が甚大になってしまうということが問題です。
ある調査によると80%のハッキングによる侵害はブルートフォースや紛失または窃取されたパスワード(認証情報)が原因だということ、また別の調査では回答者の90%がパスワードの漏洩によるデータ漏洩の影響を経験しているということが明らかになりました。この結果から、パスワードが簡単に盗めてしまうからこそ大量に漏洩してしまうということが分かります。
では、なぜ簡単に盗まれてしまうのでしょうか。それはパスワードは人間の記憶力に依存しまた再利用が可能なためです。まずは、現在利用しているオンラインアカウントの数を把握してみてください。
オンラインサービスの普及に伴い、一人当たり平均27個のオンラインアカウントを保持していると言われています。 それぞれのアカウントのパスワードを複雑化し、ましてや全てのアカウントに紐づいているパスワードを違うもので設定し、覚えておくということができるのでしょうか。
毎日アクセスするサービスですから、当然すぐにストレスなくアクセスしたいので、
「覚えやすい簡単なパスワードにする」
「同じパスワードを使い回す」
「メモを書いておく」
このようなことをしているのではないでしょうか。
ここがパスワードが簡単に盗まれてしまう原因になる落とし穴なのです。
同じパスワードを使い回してしまっていたため、またはすべてのパスワードをメモした紙やデータを保持していたため、一つのパスワードがまたは全てのパスワードが悪意のある第三者にいとも簡単に盗用されてしまうのです。そして、多大な被害を被る危険にさらされてしまうのです。
3. パスワードの問題を解決するパスワードレス認証とは?
パスワードレス認証とは、多要素認証 (MFA)の一種で、脆弱なパスワードを利用せず、生体認証やPINを利用して、クラウドサービスやWebサービスにログインします。
現在では、パスワードを使わない本人の確認が行える数多くの仕組みが登場していますが、FIDO2によるパスワードレス認証を利用することでより安全で強固な認証が行えるようになります。
FIDO2によるパスワードレス認証は、本人情報をデバイス内で確認した結果だけをサーバーに送るため、生体情報がネットワークに流れることがなく、またサーバーに保存されることがありません。パスワード認証の課題となる「セキュリティ」として認証情報のリスクが少なくなります。
現在ではFIDO2に対応した認証デバイス以外にも、みなさんがお使いのWindows10、Android、iPhone、iPadといったほぼすべての端末を利用することができます。そのため、企業のニーズに合わせてビジネスでも便利かつ安全なパスワードレスログインを現実できます。
FIDO2に対応したソリューション
認証デバイス | 本人の確認を指紋で行うもの、またPINと静脈の組み合わせで行えるものがあります。PC端末やモバイル端末にUSB/NFC/BLE(Bluetooth Low Energy)を使用し、接続して確認が行えるものがあります。 |
---|---|
Windows 10 | 本人の確認を顔スキャンで行え、Windows 10のMay2019 Update(バージョン1903)であれば、パスワードなしで利用できます。 |
MacbookやiOSデバイス | 2020年からmacOS Big Sur/iOS 14/iPadOS 14以降のMacbook、iPhone、iPadなどに搭載されたTouch ID、Face IDをFIDO2対応認証器としてご利用いただけます。 |
Android | Android 7.0以降のAndroid端末では搭載された生体認証機能などを利用することでFIDO2認証がご利用いただけます。 |
ここで、「PINはパスワードと同じではないのか」と思う方もいるかもしれませんが、PINは個人識別番号と呼ばれパスワードとは違い、ネットワーク上に流れない、流していけないものとなっています。そのためローカルの認証で利用されており、パスワードのようにネットワークに流れる心配がないため、攻撃される危険性が削減されます。
FIDO2によるパスワードレス認証について詳しく知る MFAについて詳しく知る4. パスワードレス認証の利点は?
ズバリ、3つの利点があります。 「リスクの軽減」、「コストカット」、「最高のユーザーエクスペリエンスの体験」です。
1つ目は、リスクの軽減です。
パスワードの盗用という不正な手口が利用できなくなり、また生体情報などで本人確認の厳密化を行うため、リスクの軽減が行えます。
2つ目は、コストカットです。
「パスワードを覚える」「パスワードを複雑化する」「パスワードを絶えず変更する」「パスワード忘れによる新しいパスワードの設定」など、企業においては利用するユーザーも管理者も、どれほどまでに時間をかけているのか今一度振り返ってみてください。単純にパスワードレスになれば、人がかける時間を削減できるとともに、漏洩の危険性がなくなるため莫大な損害を被ることがなくなります。
3つ目は、最高のユーザーエクスペリエンスを体験できることです。
「普段利用している端末ブラウザーでパスワードを保存しているため、他のPC端末やスマートフォンからサービスにアクセスしようと思ってもパスワードが思い出せない」
「サービスごとに文字種別や桁数の規則が違うため、何のサービスにどのパスワードを設定しているかすぐに忘れてしまう」
「定期的な変更で違うパスワードを設定したのはいいが、それを思い出せない」
などパスワードが身近になった今、利用者視点で見ると、このような場面に一度は遭遇したことがあるのではないでしょうか。挙句の果てには何度も間違えてしまい、アカウントロックになりパスワードの再設定で申請が必要でその手順が面倒、対応してもらうために時間がかかるなど、イライラした経験がある人も多いはずです。パスワードを使わなくなれば、パスワードに苦しむことがなくなり、また認証においてはパスワードに代わる生体情報という簡易な方法でアクセスができるためユーザーにとっては最高のユーザーエクスペリエンスを体験できます。
5. SSOを入れれば、もっと利点が増える?
SSO(シングルサインオン)を入れれば、さらなる利便性の向上とセキュリティの強化を実現することができます。 利用者がSSOでのログインを行うと、何度も本人認証を行うというプロセスを踏むことなく、認証が必要な複数のサービスを利用できるようになります。つまり、1度のログインですべてのサービスに繋がれるという利便性の向上が行えます。
またサービスへのアクセスには、IPアドレスや端末による制限などをかけ、利用する環境を限定することで本人確認をさらに限定した環境下で行うことでセキュリティの強化が行えます。
つまり、FIDO2に対応した認証デバイスとFIDO2に対応したSSOサービスを組み合わせることにより、本人確認からサービスへアクセスする認証を行うという一貫したセキュリティが確保できるようになります。
そのサービスが日本発のクラウド型パスワードレス認証となるFIDO2に対応したCloudGate UNOです。
FIDO2に対応した認証デバイスでCloudGate UNOにサインオンをすれば、連携しているクラウドサービスに1度で繋がることができます。そして、連携しているクラウドサービスがFIDO2に対応していなくても、その安全性を確保でき、パスワードレス認証が行えます。
今まで当たり前のように使っていた「パスワード」。
改めてパスワードが抱える問題や、パスワードレスになった時の利点をみてどう感じたでしょうか。 パスワードでの問題を解決できるだけでなく、利便性の向上とセキュリティの強化が両立して行えるパスワードレスの仕組みは今後さらに普及していくでしょう。
それでも、 「理解はできたが、何十年も頼り続けてきたパスワードをすぐに使わないってことは難しい….」「そもそもパスワードレスに対応したサービスってどれくらいあるのか分からないから、使わないってことはまだ難しい…」
そう考える人も多くいると思います。 しかし、個人利用はもちろんのこと企業で問題が起こってしまえば、ビジネスが傾き最終的にはあなたの生活が脅かされることになります。
SSOについて詳しく知る