パスワードレス認証とは?脱パスワードが求められる背景とそのメリット、おすすめのパスワード管理ツールも紹介
さまざまなサービスやシステムを利用するなかで求められるパスワード。シンプルな方式のため多くのシステムで導入されており、誰もが目にしたことのある仕組みです。
しかし、近年パスワードはさまざまな課題が挙げられており、「脱パスワード」の傾向にあることをご存知でしょうか。この脱パスワードを実現するための鍵は“パスワードレス認証”です。
そこでこの記事では、パスワードレス認証の概要やメリット・デメリットを解説していきます。併せて、脱パスワードが求められる背景やおすすめのパスワード管理ツールも紹介します。
■パスワードレス認証(脱パスワード)とは?
パスワードレス認証とは、パスワードではなく指紋や虹彩といった生体情報やPINなどを利用する認証を指します。例えば、Office 365やGoogleなどで採用されている、スマートフォンの通知を利用した認証方法などが挙げられるでしょう。
現在も、さまざまなシステムやサービスへのログインにパスワードが利用されていますが、パスワード認証には課題がいくつかあります。詳しくは後述しますが、これらの課題を解決するために利用されているのが「パスワードレス認証」です。
パスワードレス認証と一言でいっても、その仕組みは多数存在しています。そのなかでも近年注目されているのは、FIDO2を使用したものです。
FIDO2は、非営利団体「FIDOアライアンス」が開発と普及を行なう、パスワードレス認証のための規格です。
■パスワードの課題とは?
冒頭でパスワードには課題があると説明しましたが、大きく分けると3つあります。ここで、その課題を一つずつ見ていきましょう。
◇サイバー攻撃に利用されやすい
パスワードにはセキュリティ強度がありますが、その強度と利便性はトレード・オフの関係にあります。例えば、利便性を求めて簡単なパスワードにすると、セキュリティ強度が下がってしまうのです。
一方でパスワードは昔から利用されており、パスワードを突破するためのサイバー攻撃の種類も数多く存在します。例えば、「aaaa」から順番に総当たりでパスワードを入力していくような悪意のある自動ツールもあります。
これらのことから、あまり気を遣わずにパスワードを簡単なものに設定している場合、比較的簡単に突破されてしまう可能性があります。実際に、米Verizonが発行する「2021年度データ漏えい/侵害 調査報告書」によると、情報漏えいの61%が認証情報に関わるものだった。
◇管理するサービスが多く覚えられない
複数のサービスで複雑なフレーズを覚えておく必要があるというのも、パスワードのもつ課題の一つです。
パスワードを求めてくるサービスはたくさんあるため、すべてのパスワードを別々にしていると覚えていられなくなります。そこで、簡単なパスワードを設定したり、使い回したりしてしまうと、パスワードのセキュリティ強度が下がってしまいます。
例えばAサービスとBサービスでパスワードを使いまわしてしまっていると、仮にAサービスで情報漏洩が起きた場合、Bサービスの情報も漏洩してしまうことになります。サービスが多いからと言ってパスワードを使いまわすのは非常に危険です。
使いまわさずに管理しないといけないため、パスワードを求めるシステムが増えるたびに負担が増えることになってしまいます。
◇管理者への負担が増える
パスワードの利用について、組織内ではパスワードを利用する本人だけでなく、管理者の負担につながることも考えられます。
例えば、ユーザーがパスワードを忘れた際のリセット対応を管理者が行なう場合、前述のように利用するサービスやシステムの数が増えるほど負担も大きくなります。パスワードの数が多いと、設定したパスワードも忘れやすくなってしまうため、管理方法の工夫も必要になるでしょう。
いずれの課題も、パスワードを利用するシステムやサービスが限定されている場合は、問題ないかもしれません。しかし、さまざまなクラウドサービスを利用する昨今の状況下では、ユーザー・管理者ともに多くの課題があります。
■パスワードレス認証にする目的
パスワードレス認証は、前述のパスワードの課題を解決するために用いられ、「セキュリティ向上」と「利便性向上」を目的としています。
パスワード認証は、人によってセキュリティ強度が変わってきてしまうため、システム的にセキュリティを高く保つのはとても難しいという側面があります。その点パスワードレス認証であれば、覚えにくいからと言って簡単なパスワードを設定してセキュリティ強度を下げる必要もなくなるため、誰にでも同等のセキュリティを提供できます。
また、ユーザーの利便性という意味でも、パスワードレス認証のほうがよいでしょう。例えばパスワードレス認証の一つである生体認証であれば、スマホさえあればログインできるため、いちいち複雑なパスワードなどを覚える必要もなくなります。
このようにパスワードレス認証には、パスワード認証にないメリットがある反面、デメリットもあります。
次にパスワードレス認証のメリット、デメリットについても見ていきましょう。
■パスワードレス認証のメリット・デメリット
パスワードレス認証には、メリットだけでなくデメリットもあります。利用する際にはデメリットもしっかりと把握しておく必要があるので、メリットと併せて確認しましょう。
◇メリット
パスワードレス認証を利用するメリットは、前述のとおりセキュリティ強化と利便性向上が見込める点です。さらに、利便性の向上により生産性の向上も期待できるでしょう。
例えば、前述の生体認証では指紋などを利用するため本人認証が強化され、セキュリティが向上します。加えて、パスワードを入力する必要がなく簡単にログインできることで、利便性も向上します。
このようなパスワードレス認証をパソコンでも利用すれば、複数の業務システムやクラウドサービスへのログインが簡素化され、業務上の生産性向上も期待できるでしょう。
◇デメリット
パスワードレス認証では、生体認証やデバイス認証などを活用しますが、これらの認証が正常に行なえない場合にはメリットが失われます。
例えば、スマートフォンやパソコンなど特定のデバイスのみアクセスを許可するデバイス認証では、登録された特定デバイスを紛失してしまうとログインができなくなります。
また、BYOD(個人保有の端末などを業務で利用すること)のスマートフォンなどでは、盗難や紛失によってセキュリティに穴が開くことも考えられるでしょう。
生体認証では指紋や静脈などを利用しますが、季節や体調によっては認証がうまくできず、かえってログインに時間がかかる可能性がある点もデメリットに挙げられます。
■パスワードレス認証には「トラスト・ログイン」がおすすめ!
パスワードレス認証を実現するためには、新たにツールやサービスの導入が必要ですが、どのようなものを選ぶべきか悩む方も多いのではないでしょうか。
そういった方におすすめのサービスが「トラスト・ログイン」です。トラスト・ログインは企業向けのシングルサインオンを提供するサービスですが、新機能としてパスワードレス認証が加わりました。
トラスト・ログインのパスワードレス認証はモバイルプッシュ通知認証であり、管理者がこのオプションを設定すると利用できます。利用者はトラスト・ログインのパスワードを入力せずにモバイル機器に届いた通知を開いて承認するだけで、さまざまなサービスにログインできるようになります。
具体的には、次の流れでパスワードレス認証が実現します。
- 管理者がモバイルプッシュ通知認証オプションにメンバーをアサイン
- アサインされたメンバーにメールが送られる
- メンバーはトラスト・ログインのモバイルアプリをインストール
- 届いたメールに記載のURLを開き、カメラアプリでQRコードを読み込むと承認デバイスとなる
- 初回ログイン画面を開き、表示された数字を承認デバイスでタップする
- 2回目以降はサービスへのログイン時に、承認デバイスで承認・拒否を選択するだけ
初回のみ、デバイスを登録するためにいくつかの手順が必要ですが、2回目以降は簡単にパスワードレスで認証できます。
■まとめ
パスワードレス認証はパスワードを利用しない認証のことであり、スマートフォンを利用した生体認証やデバイス認証などを指します。昨今は、業務でも複数のクラウドサービスや業務システムを利用するため、パスワードの管理が難しくなってきています。
従来どおりのパスワードを利用する認証方法には、セキュリティ面や利便性での課題があり、パスワードレス認証はそれらの課題を解決するために利用されるものです。
パスワードレス認証には、セキュリティ強化・利便性向上といったメリットがある反面、デバイスの紛失や生体認証の不具合などでログインできなくなってしまうデメリットもあります。
それでも、パスワードレスのメリットは非常に大きいため、今後さらに重要視されることでしょう。
パスワードレス認証は、企業向けシングルサインオンサービスのトラスト・ログインでも利用可能です。この機会にぜひ、パスワードレス認証の導入をご検討ください。
無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら
この記事を書きました
森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー
