パスワードの過去のもの。FIDO認証が未来を担う理由

パスワードは煩わしい存在です。複雑なルールに従って作成した文字列を思い出し、せっかく覚えた内容も90日ごとに変更しなければなりません。パスワードは今や時代遅れとなっています。これからの主流は素早いオンライン認証(FIDO)です。

記事 | 読了時間 6分
2020年10月8日

パスワードは何十年にもわたってアクセスセキュリティの核を形成し続けてきました。パスワードはメインフレームコンピューターへのアクセスを共有する方法として1960年代に登場し、以降本質的にすべてのオンラインアクティビティの中で機密データを保護するために私たちはパスワードに依存してきました。しかし、セキュリティメカニズムとしてパスワードにも衰えが見え始めました。悪意あるハッカーや不正ユーザーは、ネットワークやアプリケーション内に侵入するよりもパスワードを盗み取る方が極めて容易であることを既に長い間認識しています。ベライゾン(Verizon)の報告によると、2019年のハッキング関連の違反行為の80%は盗難あるいは弱い認証情報が関わっていると報告しています。

パスワードに関連するアクセスセキュリティのリスクへの言及の必要性は誰もが認識しています。この状況は2要素認証やゼロトラストセキュリティのより高度な導入という結果につながっています。しかし私たちが従業員のログイン認証情報を保護する際にパスワードに頼り続ける限り、ランサムウェアやフィッシング、ソーシャル攻撃(ハッキング)といった脅威に自身の組織をさらし続けることとなってしまいます。この記事では、パスワードからの完全な卒業を今実施すべき理由と、素早いオンライン認証(FIDO)テクノロジーが私たちにより良い手段を提供する方法を考察していきます。

80%

のハッキング関連の違反行為は、盗難あるいは弱い認証情報が関連

パスワードはなぜ機密データを保護できないのか

パスワードの主要な問題は、ユーザーがセキュリティよりも簡単さを選択する際に生じます。パスワードを尋ねられた際、その背景を思い出し、そのサイトにどのパスワードを使用したのかを思い出す必要があります。あるいは、パスワード管理サービスLastPassやブラウザ拡張を使用して長く複雑なパスワードをログインごとに作成しているかもしれません。この場合、あなたはパスワードを入力フィールドに手動で入力するのではなく、コピーペーストしているのではないのでしょうか。また実質的に慎重に扱うべき情報、あるいは機密情報を取り扱う場合、さらにCACカードや多要素認証を使用しているかもしれませんが、ユーザーはこうした追加アクセスを要求されることなく能動的に採用することはあまりありません。

パスワードの主要な問題点は、ユーザーがセキュリティよりも簡単さを選択する際に生じます。

Kurt Roemer
シトリックス、チーフセキュリティ戦略 

要するに、大半のユーザーはログインスクリーンを通過し、アクセスしたいアプリケーションやサイトへと移動する最も簡単な方法を求めているということです。しかしこうした状況は、ユーザーが簡単で推測しやすいパスワードを利用し、複数のログインに数字や文字を1字違いで使用するという結果を導いてしまう場合が多くあります。こうした簡易なパスワードは思い出すことが容易ですが、これはハッカーによる侵入も容易にしてしまうことを意味します。クラウドベースのテクノロジーは、僅か12分の間に8文字のパスワードをブルートフォース(力づくの)推測することが可能です。またこれは、ユーザーがコンピューターのクリップボードにコピーしたテキストを読み取るアプリケーション(パスワードマネージャーを使用する際にもう一段階導入するアプリケーション)を不正なユーザーが利用しやすい状態へと導いてしまいます。

私たちは自身のパスワード戦略を修正し、アクセスセキュリティの向上に取り組んできました。しかしパスワードの複雑性に関するルールを強化しても、定期的な認証情報変更の要求やパスワードマネージャーの使用を行っても、私たちのパスワード強化方法のすべてはセキュリティ侵害や問題に直面しました。従業員はどの複雑なパスワードをどのサイトに使用したのかを忘れてしまう、あるいは認証情報を変更する度に、同様の弱いパスワードを1字違いで使用しています。複雑なアクセス認証情報を複数のログインのために作成することができるパスワードマネージャーは、マネージャー内にログインする際には、今も単一のユーザーパスワードに頼っています。物理的なセキュリティや2要素認証であっても、ユーザーのパーソナルデバイスが紛失・盗難に遭った際には情報漏洩に繋がりかねません。紛れもない事実とは、パスワードは現代のサイバー攻撃から私たちを守るには不十分であるということです。

素早いオンライン認証(FIDO):アクセスセキュリティの未来

ガートナー(Gartner)の予測では、2022年までに大企業とその規模に近いすべての中規模企業の60%が、パスワードへの依存を半分にまで縮小するとしています。パスワードが過去のアクセスセキュリティとなった場合、素早いオンライン認証が未来を担う存在となります。FIDOとしても知られるこのアクセスセキュリティテクノロジーは「パスワードのみのログインを、セキュアで高速なログインエクスペリエンスへと転換することを可能にします。」現在、FIDO2ウェブベースAPIは、ユーザーがバイオメトリクス(指紋、音声分析など)認証、モバイルデバイス、特定のセキュリティトークンなどを使用して自身のアイデンティティを証明できるようにするもので、パスワードをユーザーが常に利用することが可能で、盗難が不可能なものと置き換えることで有効なセキュリティ脅威対策となっています。

FIDO認証の仕組みをご紹介します。

  1. ユーザーは、承認されたFIDO認証システムを選択することでユーザーがログインするオンラインサービスへの登録を行います。
  2. ユーザーが別の場所にログインする必要がある場合は、FIDO認証済みのデバイス(個人のスマートフォンなど)を使用し、自身の声、指紋、顔、またはこれらの組み合わせを証明することができます。ユーザープライバシーを保護するため、FIDOのみがバイオメトリクス認証方法を確認することができます。これらはオンラインサービスには不可能です。
  3. FIDO認証済みデバイスは、オンラインサービスのための適切なセキュリティトークンを選択するためにユーザーのアカウント識別子を使用します。サービスは承認されたトークンとユーザーのログを確認することができます。

バイオメトリクス認証とFIDO2認証に頼ることは、ユーザーエクスペリエンスを簡素化するだけではなくアクセスセキュリティの強化も実現します。これは素早いセキュアアクセスの実現に加え、ユーザーが複雑なパスワードを思い出し、定期的にアップデートする必要がなくなるということを意味します。一方組織はアクセスセキュリティを向上し、機密データを保護するために異なるバイオメトリクス認証形態を要求することが可能です。

時代遅れのパスワード以上にFIDO認証を支持する

パスワードはインターネット上を徘徊するゾンビのような存在です。パスワードは今後もインターネット上に存在し続けるでしょうが、組織は彼らに取りつかれないようにしなければなりません。FIDO認証を採用することで、従業員、パートナー、サードパーティーユーザーを定期的に更新される複雑なパスワードを思い出す手間から解放し、バイオメトリクスを使用したユーザー認証を行うことでアクセスセキュリティを強化することができるのです。