パスワードレス認証

パスワードの問題点

何世紀にも渡り、パスワードはオンライン・オフライン、さらには物理的な資源を守る標準的な手段でした。長い間十分な守りを提供していましたが、ハッカーが技術を磨き、強固なものも含め様々なパスワードの解読方法を理解するようになりました。

次第に、パスワードの使用はネット利用者にとって役立つどころか手間となるようになりました。その理由は以下の通りです。

• 多くの人が、特殊文字、数字、英字を組み合わせた強力なパスワードを実際に使用しておらず、個人情報を使ったり、パスワードの使い回しをすることで、攻撃者にとって格好の標的となっています。
• インターネット利用の拡大により、多くのパスワードを抱える結果、管理が十分に行われなくなっています。
• パスワードを用いた守りは、増加するフィッシング攻撃に対して無力です。
• 攻撃者は総当たり攻撃を巧みに使い、独自の自動化ツールでパスワード保護されたアカウントに不正にアクセスできるようになりました。
• 企業はユーザーパスワードをサーバ上のデータベースに保存することが多く、これが情報漏洩の主な狙いとなり、攻撃が成功すると容易に侵される可能性があります。

パスワードレス認証の概要

特定のIT資源にアクセスする前に、ユーザーを確認する革新的な方法です。

従来はパスワードでアカウントを守っていましたが、パスワードは時代遅れとなり、さまざまなセキュリティ上の問題を抱えています。

この新しい方法では、生体情報を利用してユーザーの身元を確認します。生体情報は個々に異なり、サーバに保存されないため、プライバシーと高度なセキュリティが実現されます。

仕組み

まず、パスワードを廃止し、事前にデータベースに登録した識別情報を利用します。基本的な流れは以下の通りです。

• エンドユーザーは、ウェブサイト、ウェブアプリ、またはIT資源の「ログイン」ボタンをクリックしてアクセスを開始します。
• 該当のアプリはアクセス要求を受け取り、認証サーバに連絡します。
• 設定された本人確認方法に従い、サーバは指紋、網膜スキャン、顔認証などの情報提供を求めます。事業者がマジックリンクやFIDOトークンを利用している場合も同様です。
• ユーザーは求められた確認情報を対象のウェブサイトに入力します。
• ウェブサイトは情報を認証サーバに転送し、事前に保存されたデータと照合します。
• 情報が一致すれば、アクセスが許可されセッションが開始されます。アプリが継続して利用される限りログイン状態が維持されますが、一定時間操作がない場合は自動ログアウトする場合もあります。

パスワードレス認証の種類

FIDO2のパスワードレス認証は、多様な実装方法を提供し、ユーザーが最適な認証手段を選択できる自由を与えます。以下は、一般的に用いられる実装プロセスの概要です。

• OTC（ワンタイムコード）は、認証過程でユーザーに送られる固有で短時間のみ有効なコードです。通常、メールや電話により送信され、対象資源に入力してアクセスします。
• 生体デバイス（指紋スキャナー、網膜スキャナー、音声認証装置、顔認証ソフトなど）を利用する方法もあります。これらの身体的特徴は固有であり、盗用や模倣が困難です。
• ‍FIDOトークンは、暗号キーを備え、USBポートに簡単に接続できる物理デバイスとして広く利用されています。進化したFIDOトークンはBluetoothやNFCを使った無線通信も可能で、利用のたびに固有のコードを生成します。
• ‍マジックリンクは、認証済みのメールアドレスを用いてログインプロセスを開始する方法です。ユーザーは確認メール内のリンクをクリックすることで認証を完了します。

企業は、求めるセキュリティレベルや要件に応じ、これらの方法を単独または組み合わせて利用できます。どの方式を選んでも、パスワードレス認証は優れた守りを実現します。

‍

パスワードレス認証の利点

パスワードレス認証は、セキュリティの向上、使いやすさ、運用コストの削減といった面で、企業とエンドユーザー双方にメリットをもたらします。以下に、その利点を詳しく説明します。

• 向上したセキュリティ

総当たり攻撃、フィッシング、データ窃取といったリスクを抑えることで、サイバー攻撃の可能性が低下し、セキュリティが強化されます。ハッカーはこの認証を回避する技術を未だ確立していません。

認証データはサーバに保存されず、暗号キーに保管されるため、その守りを突破するのは非常に困難です。

• 比類なき使いやすさ

従来のパスワード管理が煩雑な一方、パスワードレス認証は整理されたユーザー識別方法を提供します。ハードウェアトークンや生体認証ツールにより、パスワードの管理や使い回しの手間がなくなり、ユーザーは何も覚える必要がありません。

• 追加費用が不要

データ窃取のリスクが低いため、攻撃後に発生する余計な費用を負担する必要がなく、パスワードの再設定や管理に投資する必要もありません。

• コンプライアンスの向上

CCPAやGDPRなどの規制を目指す企業は、先進的なデータの守りと個人情報の管理により、目標を達成できます。(Wallarm and GDPR)

パスワードレス認証は安全か

この認証方式が安全かどうか判断する前に、安全性の範囲を明確にする必要があります。安全とは何かをはっきりさせることが大切です。

認証手段として安全か

利用方法として安全か

完全にハッキングを防げるか

安全と考える基準によって答えは異なります。

例えば、認証手段としての安全性を問われれば、答えは「はい、安全です」となります。

解析が非常に困難で、セキュリティは強化されています。

さらに、すべてのデータがサーバではなく暗号キーに保存され、しっかりと守られている点も安全性を高めています。

しかし、ハッキングを完全に防げるとは言えません。攻撃者が認証装置に侵入し、暗号キーを解読する可能性は残っているためです。

それにもかかわらず、現時点で最も安全な認証方法の一つとされ、パスワード方式よりも遥かに安全で十分な守りを提供します。

‍

多要素認証（MFA）とパスワードレス認証の違い

MFAは、従来のパスワード方式を強化する手法です。パスワードに加え、2つ以上の要素でユーザーを確認します。OTPや指紋認証、網膜認証などがMFAの手段として使われますが、パスワードは依然使用されます。

パスワードレス認証は、パスワードを完全に排除し、ハードウェア認証装置のみを利用します。いずれもIT資源を守る賢い手法ですが、パスワードレス認証の方が優れています。

‍

パスワードレス認証とその他の手法

1. ‍ゼロトラストとの組み合わせ

ゼロトラストは、必ずしもパスワードレスを含まない場合もありますが、誰も信用せず、アクセスのたびにユーザー認証を求めるアプローチです。この目的を達成するため、企業はパスワードレス認証と他のセキュリティ対策を併用します。

2. シングルサインオンとの組み合わせ

シングルサインオンは、パスワードレス認証と組み合わせることで高度なセキュリティを実現します。二つは互いに補完し合い、以下のように機能します。

• SSOは一度のログインで詳細なアクセス権を提供するよう設計されており、顔認証や指紋認証といったパスワードレス技術と組み合わせることで、エンドユーザーに再認証を求めずに複数の資源へ安全なアクセスを確保します。
• この組み合わせにより、再入力や再確認の手間が省かれ、時間と労力の節約につながります。
• Wallarmポータルでシングルサインオンを利用する

パスワードレス認証の実装

この先進的な認証方法の有効性は実績により証明されているため、疑問視する必要はありません。しかし、パスワードレス認証による利便性や安全性のレベルは、実装の仕方に大きく依存します。

以下に、専門家による実装の推奨事項をいくつか紹介します。

• セキュリティ目標、予算、技術力に基づき、採用する認証方法を決定してください。すべての方式が有効ですが、それぞれ実装条件が異なります。例えば、網膜スキャナーは指紋センサーよりも高価です。

網膜スキャナーで取得されるデータは複雑であり、これを管理するには十分な技術チームが必要です。予算やリソースが限られている企業では、この方式を十分に活用できない可能性があります。したがって、現有の資源、調達可能なもの、管理方法を十分に検討してから進めてください。

• 予算を設定し、それを守ることが重要です。従来のパスワード方式と比べ、ハードウェア認証装置の購入およびその後の保守やアップグレードが必要なため、費用がかさみます。投資可能な資本を明確にしておくことが大切です。
• 十分なトレーニング、技術サポート、保守を提供する信頼できるベンダーから認証装置を購入してください。これにより、ソフトウェアやハードウェアを最大限に活用できます。
• 従業員が重要な生体情報の提供に前向きであるか確認してください。専門家は、意向を調査することを推奨しています。もし従業員が敏感な情報の提供に消極的であれば、導入は効果を発揮しません。
• 社内での実装は手間がかかるため、信頼できる第三者に委託することが望ましいです。