パスワードが不要な時代がやって来る?

2018/04/02

nopassword_top.jpg

パスワードは、インターネット上で最も利用されている認証方法の一つですが、そのパスワードを利用せずに認証を行う製品の開発がアメリカで進められています。その製品について、日本の企業が現実的に利用可能かも含めて、以下で見ていきたいと思います。

 

NoPasswordとは

nopassword_logo.jpg

パスワードを必要としない認証の実現を目的として提供されているNoPasswordは、アメリカのWiActs社によって開発されています。WiActs社は、2015年1月に、現CEOであるYaser Masoudniaにより設立された企業です。Mosoudnia氏はイランの大学を卒業後、ヨーロッパの2つの大学院を経てアメリカ・マサチューセッツ工科大学の研究院となり、その後2社を起業、そして3社目にこのWiActs社を起業した連続起業家です。

さて、NoPasswordはどのようにパスワードを使わずに認証を行っているのでしょうか。

NoPasswordでは、各クラウドサービスやディレクトリにアクセスする際に、パスワードを入力する代わりに、あらかじめスマートフォンに登録されている指紋などの生体情報を用いて暗号鍵を生成し、これを利用して認証を行います。そして、デバイスと人(生体情報と行動要因)から取得した情報を用いて、独自の多要素認証を提供しています。

通常のIDaaS (クラウド型IDパスワード管理サービス) は、まずIDaaSに複雑なパスワードを登録します。その後、IDaaS管理画面上で各システムやクラウドサービスのパスワードを登録。実際に各システムやクラウドサービスを利用するときには、パソコンやスマホに入れたプラグインやアプリからIDaaSを呼び出し、パスワードを入力して認証を行っています。

このNoPasswordも、IDaaSという言葉は使っていませんが、行っていることはIDaaSと同じです。唯一といってよい違いは、各システムやクラウドサービスにログインするために、IDaaS用のパスワードではなく生体認証を用いている点です。スマートフォンに登録された指紋などの生体情報(スマートフォン上に保存され、NoPasswordは保有しない)を利用して、スマートフォンのNoPasswordアプリが認証を行い、問題なく認証されると各システムやサービスにアクセスできるという仕組みです。

 

NoPasswordのメリットとデメリット

merit.jpg

メリット

1.IDaaSに登録するパスワードの暗記が不要

通常、IDaaSを利用する場合、各システムやサービスのパスワードはIDaaS側で登録してしまっても、IDaaS自体にアクセスするパスワードは必要となります。NoPasswordを利用すると、このIDaaSにアクセスするためのパスワードも不要となります。

2.スマートフォンでの認証が必須

パソコンで各種クラウドサービスに認証する場合も、認証をスマートフォンで行います。つまり、万が一パソコンが盗難された場合でも、スマートフォンがないと認証が行えないためより安全なセキュリティーを提供しているといえます。

3.生体情報はスマートフォンの中のみでNoPasswordは保有しない

指紋認証や顔認証で利用する生体情報は、スマートフォン側にのみ保持し、NoPassword側では保持しません。よって、「ベンダー側で情報漏えいが起こった場合にも、自身の生体情報が漏えいする」といったリスクはありません。

デメリット

1.接続できるクラウドサービスが少ない

多くのIDaaSは数百、数千というクラウドサービスや社内システムに対してシングルサインオンを提供していますが、NoPasswordではどのアプリに対してシングルサインオンが可能かという情報を公開していません。Office 365, AWS, Salesforce, Zendesk, Google Appsなどの一部の情報は公開していますが、それぞれ個別に対応が必要なものとなります。また、接続方法を公開していないサービスに関しては、接続できるかどうかが不明であるため、NoPasswordを唯一のIDaaSとして利用することは難しいのが現状です。

2.スマホが手元にない場合は結局パスワードを利用する

NoPasswordは、原則として全ての認証をスマートフォンで行います。そのため、スマートフォンを家に忘れてしまったり、そもそもスマートフォンを利用していないというユーザーは、結局パスワードを利用することになります。そこには、「何かあったときにパスワードを使うのであれば、通常のパスワードを利用するIDaaSとさほど変わらない」、あるいは「スマートフォンでほとんど認証を行っていると、何かあったときのバックアップパスワードを忘れてしまう」といった問題点があります。

3.日本語サポートがない

現在、日本での営業活動を行っていないため、製品ならび販売・サポートリソースは全て英語となります。メールや電話、チャットなどからの日本語対応は不可能です。

 

NoPasswordは日本企業におすすめできる製品か?

recommend.jpg

NoPasswordは「原則、スマホから取得可能な生体情報」のみを用いて認証を提供するという、野心的な製品です。多くのスマートフォンに指紋リーダーや、顔認証機能が搭載されている中、これらを認証インフラとして活用するという考えも良いと言えます。

しかしながら、上記のデメリットに記載させて頂きました通り、実際に日本企業がサービスを導入利用するとなると、問題があることもまた事実です。各アプリのシングルサインオン対応に管理者側の工数がかかる点、スマホが手元にないと結局パスワードを利用する点、そして日本語サポートが受けられない点です。

もし、日本企業で社内やクラウドにおけるシングルサインオンの導入をご検討の場合は、当社GMOグローバルサインのトラスト・ログインをご利用になってみてはいかがでしょうか。「3,000を超えるクラウドサービスに対応 (2018年3月時点)」「スマホがあってもなくても利用可能」、そして「日本企業が開発しているため、ドキュメントもサポートも日本語OK」という製品になっております。

標準機能は、ユーザー数ならびに登録アプリ無制限で、無料でご利用頂けます。また、オプション機能を利用する際も、1機能100円 (1ユーザー月額) から提供していますので、必要な機能だけを安価に導入することが可能です。

ぜひ以下から登録、トライアル利用ください。