このページでは近年注目を集める「パスワードレス認証」について詳しく解説していくとともに、従来のID/パスワードによる、本人認証のセキュリティリスクに対処するための新たなソリューションとして、パスワードレス認証の重要性や導入のポイントについて紹介しています。

さらに、情報漏洩のリスクやセキュリティ対策の必要性についても解説しています。

パスワードレス認証の種類

パスワードレス認証は、伝統的な文字列のパスワードに代わって、指紋や顔などの身体認証やトークンを利用して個人を確認・認証する、最新のセキュリティ技術です。
利用シーンは、スマートフォンのロック解除からオラインショッピングの決済、銀行アプリのログインまで、広範囲に及んでいます。

つまり、このパスードレス認証は、デジタル化がますます進む現代社会において、パスワード認証に比べてセキュリティと利便性の両立を図れる新たな認証手段として期待されているということです。

パスワードレス認証の種類の代表的なものは下記になります。

・生体認証

・デバイス認証

・マジックリンク

・FIDO認証

・SSO(シングルサインオン)

 

生体認証とは

生体認証は、指紋・虹彩・静脈などの生体情報を使用して認証を行う方法です。
生体情報第三者による複製が困難であり、金融機関などでも採用されるほど信頼性の高い認証方法です。

ただし、生体認証を利用する際は、指紋などを読み取るための専用の機器が必要です。

デバイス認証とは

デバイス認証は、スマートフォンやタブレットなどの本人のみが所有するデバイスを使用して認証を行います。
これは「所有者情報」に該当する認証方式であり、認証アプリで生成されたコードやワンタイムパスワード、プッシュ通知などを使用して認証をします。

有名な認証アプリとしては、「Google Authenticator(Google認証システム)」があります。
スマートフォンなどは一般的に多くの人が所有しているため、二段階認証を実現する手段としても広く普及しています。

マジックリンクとは

マジックリンクは、ユーザが入力したメールアドレス宛に認証用のリンク付きメールを送り、そのリンクをクリックすることでアクセス権限が付与されます。
認証時に、ユーザが入力する必要があるのはメールアドレスのみであり、パスワードは必要ありません。
メールアドレスも本人しか所有していないため、所有者情報を使用した認証方式と言えます。

ただし、生体認証やデバイス認証と比較すると、第三者に利用される可能性がやや高くなるでしょう。

FIDO認証とは

FIDO(Fast Identity Online)認証は、パスワードレスの標準化を進める国際規格です。

この認証方法は、グローバルでの標準化が進んでおり、さまざまなデバイスで利用できるめ、将来的にはパスワードレス認証の標準となる可能性が高いです。
FIDO認証の大きな特徴は、秘密の情報をサーバとユーザ間で共有しない仕組みです。
公開鍵暗号方式と身体認証を組み合わせることで、安全かつ便利なパスワードレス認証を実現しています。

SSO(シングルサインオン)とは

SSOは、一度のログインで複数の登録済みサービスにアクセスすることができる仕組みです。
これにより、さまざまなクラウサービスなどを一元的に管理し、ログインの手間を大幅に減らすことができます。

SSO自体はパスワードレス認証を実現するためのものではありせんが、最初のログイン以降はパスワードを使用せずに複数のサービスシステムにアクセスできるため、パスワードレス認証を実現する手段の一つと言えます。
近年では、SSOサービスへのログインもパスワードを使用せずに行えるものもあり、完全なパスワードレス認証を実現することも可能です。

パスワードレス認証のメリット・デメリット

パスワードレス認証を導入することでの、メリット・デメリットをご紹介いたします。

まず最大のメリットと言えるのが、利便性の向上です。
パスワードレス認証は生体認証やセキュリティキーなどの手段を使用するため、従来のパスワードよりも高度なセキュリティを実現することができます。

次に利便性の向上です。 ユーザがパスワードを覚える必要がなくなるため、ログインのプロセスが簡素化され、利便性が向上します。
例えば、煩わしいログインがなくなることで、業務に集中できるといったメリット生まれてくるかもしれません。

また、パスワード関連のリスクを軽減できるのもメリットの一つです。
パスワードに関連するリスク(例:パスワードの盗難、流出、忘れるなど)を軽減することができます。

最後に、不正アクセスの防止です。 生体認証やセキュリティキーなどの手段を使用することで、不正アクセスをより効果的に防止することができます。

一方、パスワードレス認証にはデメリットも存在します。

スマートフォンやタブレットが必須となるため、そのデバイスを使わないとログインできないというデメリットがあります。
ですから、ユーザ自身がデバイスの管理に徹底的に気を付ける必要があります。

また、認証機器が正常に機能しない場合もあります。
例えば、指紋や顔認証の機能を使用する場合は、手が濡れていないことや、カメラレンズが汚れていないことなどに気をつける必要があり、レンズに傷が入ったりした場合は修理の必要も出てきます。

パスワードレス認証の導入ポイント

パスワードレス認証を導入する際には、以下のポイントを考慮することが重要です。

  • デバイスの保護 パスワードレス認証には、スマートフォンやタブレットなどのデバイスが必要です。 そのため、デバイスの紛失や盗難に備えたセキュリティ対策が必要です。
  • 一元管理 複数のアプリケーションやサービスでパスワードレス認証を導入する場合、一元管理が必要です。 これにより、管理者は一つの管理画面からユーザの認証情報を管理できます。
  • 多要素認証 パスワードレス認証には、生体認証やセキュリティキーなどの多要素認証が必要です。 これにより、不正アクセスを防止することができます。
  • ユーザビリティ パスワードレス認証を導入する際には、ユーザの利便性も考慮する必要があります。 ユーザが使いやすい認証方法を選択することが重要です。
  • セキュリティ パスワードレス認証を導入する際には、セキュリティに関する懸念も考慮する必要があります。 認証情報の暗号化や、不正アクセスに対する対策などが必要です。

これらのポイントを考慮して、最適なパスワードレス認証ソリューションを選択することが重要です。

従来のID/パスワードでのセキュリティリスクの軽減方法

従来のID/パスワードによる本人認証のセキュリティリスクを軽減するための具体的な対策として、以下の方法が挙げられます。

  • 多要素認証(Multi-Factor Authentication, MFA)の導入 ID/パスワードに加えて、生体認証やワンタイムパスワードなどの追加要素を組み合わせることで、不正アクセスを防止します。
  • パスワードポリシーの見直し 従来の「定期的なパスワード変更」や「特殊文字の使用」などのポリシーを見直し、最新のセキュリティガイドラインに合わせたポリシーを導入します。
  • セキュリティ意識の向上 従業員やユーザに対して、セキュリティ意識向上のための教育やトレーニングを実施し、適切なパスワード管理の重要性を周知します。
  • パスワードマネージャーの活用 パスワードマネージャーを導入し、複雑なパスワードの生成や管理を支援します。

これらの対策を組み合わせることで、従来のID/パスワードによる本人認証のセキュリティリスクを軽減することができます。

MagicEndpoint とSecureDoc IdPの利用を組み合わせることで、 PC起動時認証で1度認証を行うことで、ユーザの負担のない多要素認証・SAMLを利用した認証を行い、安全なリモートサービスへの接続を実現できます。

 多要素認証で利用するMagicEndpointはソフトウェアトークンで秘密鍵をPCのTPMなどに保存します。 TPMを利用することで安全な秘密鍵の保存ができ、物理トークンと違い持ち運びをする必要性や、紛失・持ち運び忘れなどの心配がありません。

リモートサービスへのパスワードレス認証に関するPDFをダウンロード