パスワードレス認証入門編:パスワードレスを考えよう 〜問題と利点を理解すれば“パスワード”はいらなくなる〜

クラウドセキュリティ, Strong Authentication ブログ

パスワードレス認証入門編:パスワードレスを考えよう
〜問題と利点を理解すれば“パスワード”はいらなくなる〜

2019年6月21日

パスワードレス認証入門編:
パスワードレスを考えよう
〜問題と利点を理解すれば
“パスワード”はいらなくなる〜

利用が一般化され、誰もがあって当たり前だと感じている「パスワード」。
そもそもパスワードの問題やパスワードを使わない場合の利便性を考えたことがありますか?

パスワードは、「利用している本人が本人であることを証明するための仕組み」であり、それが漏れてしまえば「なりすまし」の危険にさらされます。最悪の場合、個人の生活が脅かされるだけでなく、企業においては大切な資産が危険にさらされ、企業経営が脅かされることもあるでしょう。パスワードはそれほどまでに危険が伴うものなのです。

パスワードの問題とは?

「簡単に盗まれてしまう」これこそが問題です。そして、盗用されたパスワードが不正利用され、被害が甚大になってしまうということが問題です。

ある調査によると81%のハッキングによる侵害はパスワードが原因だということ、また別の調査では回答者の90%がパスワードの漏洩によるデータ漏洩の影響を経験しているということが明らかになりました。

この結果から、パスワードが簡単に盗めてしまうからこそ大量に漏洩してしまうということが分かります。

では、なぜ簡単に盗まれてしまうのでしょうか。
まずは、現在利用しているオンラインアカウントの数を把握してみてください。

オンラインサービスの普及に伴い、一人当たり平均27個のオンラインアカウントを保持していると言われています。
それぞれのアカウントのパスワードを複雑化し、ましてや全てのアカウントに紐づいているパスワードを違うもので設定し、覚えておくということができるのでしょうか。

毎日アクセスするサービスですから、当然すぐにストレスなくアクセスしたいので、
「覚えやすい簡単なパスワードにする」
「同じパスワードを使い回す」
「メモを書いておく」

このようなことをしているのではないでしょうか。
ここがパスワードが簡単に盗まれてしまう原因になる落とし穴なのです。

同じパスワードを使い回してしまっていたため、またはすべてのパスワードをメモした紙やデータを保持していたため、一つのパスワードがまたは全てのパスワードが悪意のある第三者にいとも簡単に盗用されてしまうのです。
そして、多大な被害を被る危険にさらされてしまうのです。

問題の解決策は?

パスワードを使わない本人の確認が行えるものを利用する仕組みを使えば解決します。
ただし、一般的によく耳にする「多要素認証」はパスワードだけでは守れないからこそ利用されるパスワードに追加した認証方法であり、パスワードの問題を解決していないということは覚えておいてください。

現在では数多くの仕組みが登場していますが、ここでは「従来のIDとパスワードを用いた認証方式に代わるに認証方式を目指している」FIDOアライアンスが提唱する「パスワードレス認証」を可能としたFIDO2に対応したソリューションをいくつかご紹介します。

1つ目は、FIDO2に対応した認証デバイスです。
本人の確認を指紋で行うもの、またPINと静脈の組み合わせで行えるものがあります。PC端末に認証デバイスを入れて確認を行うもの、またNFC/BLEでモバイル端末にかざして確認が行えるものがあります。

CloudGate UNO Passwordless Authenticators

2つ目は、マイクロソフト社が提供するWindows Helloです。
本人の確認を顔スキャンで行え、Windows 10のMay2019 Update(バージョン1903)であれば、パスワードなしで利用できます。

これらの指紋、顔、そしてPINと静脈を組み合わせた本人確認は、本人でなければ持ち得ない情報であるため盗まれる心配がありません。

ここで、「PINはパスワードと同じではないのか」と思う方もいるかもしれませんが、PINは個人識別番号と呼ばれパスワードとは違い、ネットワーク上に流れない、流していけないものとなっています。そのためローカルの認証で利用されており、パスワードのようにネットワークに流れる心配がないため、攻撃される危険性が削減されます。

パスワードを使わない利点は?

ズバリ、3つの利点があります。
「リスクの軽減」、「コストカット」、「最高のユーザーエクスペリエンスの体験」です。

パスワードを使わない利点はリスクの軽減 (Passwordless - Risk reduction / secure)

1つ目は、リスクの軽減です。
パスワードの盗用という不正な手口が利用できなくなり、また生体情報などで本人確認の厳密化を行うため、リスクの軽減が行えます。

2つ目は、コストカットです。
「パスワードを覚える」「パスワードを複雑化する」「パスワードを絶えず変更する」「パスワード忘れによる新しいパスワードの設定」など、企業においては利用するユーザーも管理者も、どれほどまでに時間をかけているのか今一度振り返ってみてください。単純にパスワードレスになれば、人がかける時間を削減できるとともに、漏洩の危険性がなくなるため莫大な損害を被ることがなくなります。

パスワードを使わない利点は最高のユーザーエクスペリエンス(FIDO2 Passwordless Benefit - User Experience Improved)

3つ目は、最高のユーザーエクスペリエンスを体験できることです。
「普段利用している端末ブラウザーでパスワードを保存しているため、他のPC端末やスマートフォンからサービスにアクセスしようと思ってもパスワードが思い出せない」

「サービスごとに文字種別や桁数の規則が違うため、何のサービスにどのパスワードを設定しているかすぐに忘れてしまう」

「定期的な変更で違うパスワードを設定したのはいいが、それを思い出せない」

などパスワードが身近になった今、利用者視点で見ると、このような場面に一度は遭遇したことがあるのではないでしょうか。挙句の果てには何度も間違えてしまい、アカウントロックになりパスワードの再設定で申請が必要でその手順が面倒、対応してもらうために時間がかかるなど、イライラした経験がある人も多いはずです。パスワードを使わなくなれば、パスワードに苦しむことがなくなり、また認証においてはパスワードに代わる生体情報という簡易な方法でアクセスができるためユーザーにとっては最高のユーザーエクスペリエンスを体験できます。

SSOを入れれば、もっと利点が増える?

SSO(シングルサインオン)を入れれば、さらなる利便性の向上とセキュリティの強化を実現することができます。

利用者がSSOでのログインを行うと、何度も本人認証を行うというプロセスを踏むことなく、認証が必要な複数のサービスを利用できるようになります。つまり、1度のログインですべてのサービスに繋がれるという利便性の向上が行えます。

またサービスへのアクセスには、IPや端末による制限などをかけ、利用する環境を限定することで本人確認をさらに限定した環境下で行うことでセキュリティの強化が行えます。

つまり、FIDO2に対応した認証デバイスとFIDO2に対応したSSOサービスを組み合わせることにより、本人確認からサービスへアクセスする認証を行うという一貫したセキュリティが確保できるようになります。

そのサービスが日本発、世界初のクラウド型パスワードレス認証となるFIDO2に対応したCloudGate UNOです。

FIDO2に対応した認証デバイスでCloudGate UNOにサインオンをすれば、連携しているクラウドサービスに1度で繋がることができます。そして、連携しているクラウドサービスがFIDO2に対応していなくても、その安全性を確保でき、パスワードレス認証が行えます。

FIDO2登録の流れと認証の流れ - FIDO2 Flow DiagramCloudGate Authenticator Connected Services

今まで当たり前のように使っていた「パスワード」。
改めてパスワードが抱える問題や、パスワードレスになった時の利点をみてどう感じたでしょうか。
パスワードでの問題を解決できるだけでなく、利便性の向上とセキュリティの強化が両立して行えるパスワードレスの仕組みは今後さらに普及していくでしょう。

それでも、
「理解はできたが、何十年も頼り続けてきたパスワードをすぐに使わないってことは難しい….」「そもそもパスワードレスに対応したサービスってどれくらいあるのか分からないから、使わないってことはまだ難しい…」

そう考える人も多くいると思います。
しかし、個人利用はもちろんのこと企業で問題が起こってしまえば、ビジネスが傾き最終的にはあなたの生活が脅かされることになります。
次回は、FIDO2の詳しい仕組みと企業でのパスワードレス導入に焦点を当ててみたいと思います。

John Haggard - ジョン・ハガード

ジョン・ハガード

ジョンはISRアメリカの顧問を務めています。
1994年から2000年までVASCO Data Security International(Nasdaq:VDSI)の社長、COO、およびCTOを務め、VASCOを金融機関向けの強力な認証を提供する会社として成功させました。