TOUCH THE SECURITY Powered by Security Service G
こんにちは、セキュリティ本部の平田です。
ID管理の世界、第3回はパスワードの無い世界についてお話していきます。
第1回は多要素認証(MFA)についてお話ししました。
今までのパスワードに2番目の要素として所有情報や生体情報を加えたものでした。
今回はパスワードを使用せず、所有情報と生体情報でユーザー認証を行うパスワードレス認証の話となります。(※単一要素でのパスワードレスも可能です)
普及してきたパスワードレス
Microsoftは2015年に発売したWindows10からWindows Helloが実装されました。Windows Helloは生体認証によるパスワードレス認証機能です。
コンピュータのマザーボードに搭載されたトラステッド プラットフォーム モジュール (TPM)により、秘密鍵の保護と暗号化が行われます。
なお、Microsoftではパスワードレス戦略として、組織のパスワードの時代を終わらせるための4つの段階を公開しています。
Microsoft:パスワードレス戦略の概要文字列
コンシューマー市場においてはパスキー(Passkeys)が普及してきました。
パスキーはスマートフォンやPCを利用し、指紋認証や顔認証などを使用してパスワードレスを実現します。
パスキーは公開鍵暗号方式を使用しており、ユーザーのデバイスに秘密鍵を保存するため、万が一サービス提供者のサーバーが侵害を受けたとしても、サーバーに保存されているのは公開鍵しかなく、認証情報が漏洩するリスクがないためフィッシング対策として絶大な効果があります。
また、認証にかかる時間が大幅に短縮され、ユーザーの利便性も向上します。
参考:メルカリのパスキー認証、サインインを3.9倍に高速化
日本国内では、NTTドコモ、ソフトバンク、三菱UFJ銀行、Yahoo JAPAN、メルカリ、東急グループなど、パスキーを採用する企業が増えています。
FIDO
パスワードレスを実現する規格がFIDO(Fast IDentity Online)です。
2012年、新しいオンライン認証技術の標準化を目指してFIDO Allianceが設立され、FIDO2が最新の規格です。
先に述べたWindows HelloもパスキーもFIDO2により実現しています。
FIDOのユーザー認証については3つの仕様があります。
- UAF(FIDO Universal Authentication Framework) 第一の認証要素であるパスワードからの置き換えるフレームワーク。
- U2F(FIDO Universal Second Factor) USBセキュリティデバイスを使用して二要素認証を実現する規格。
- FIDO2 FIDO2は下記の2つの仕様により構成されています。
スマートフォンによる生体認証や指でのスワイプ等により認証を行います。
FIDO2のリリースに伴い、U2FはCTAPへと変更されました。
ーWebAuthn(Web Authentication)
W3Cによる仕様であり、ブラウザに実装されているウェブAPIを定義しています。
ーCTAP(Client To Authenticator Protocol)
スマートフォンやUSBセキュリティデバイス等の外部認証機能を、WebAuthnをサポートするブラウザと連携させたり、デスクトップアプリケーションやウェブサービスの認証機能として利用したりすることを可能にします。
パスキー
身近なパスワードレスの例としてパスキーについて説明します。
先にも述べました通り、パスキーはFIDO2の仕様に則っており、スマートフォンやPCを利用し、指紋認証や顔認証などを使用してパスワードレスを実現します。
パスキーの主な利点は次の通りです
- 登録とログインの迅速化
- フィッシング耐性
- 利便性の向上
- 複数のデバイスで使用可能
- デバイス固定パスキー(Device-bound Passkey) 端末ごとに秘密鍵が保管されます。
- 同期パスキー(Synced Passkey) 秘密鍵は暗号化されクラウドで同期されます。
秘密鍵が外に出ることは無いため安全ですが、その反面、利便性が低下します。
Google ChromeユーザーであればGoogle Password Manager、AppleユーザーであればiCloudキーチェーンで同期されます。
その他のクラウドプラットフォームを利用することも可能です。
この方式では秘密鍵をクラウドに保存し同期するため利便性は向上しますが、安全性の面では低くなると考えられます。
Oktaとパスキー
ID as a Serviceを提供しているOktaではOkta Customer Identity Cloud(Okta CIC)でパスキーに対応しています。 顧客向けサービスを提供している事業者がパスキーを利用できるようになり、安全なサイト運営とユーザーの利便性向上が可能となります。 また、Oktaではパスキーを学び、パスキーの動作を体験できる入門サイト「Passkeys Playground」を公開しています。
普及における障壁
このように、良いことだらけのように見えるパスワードレスですが、まだ一般に普及しているとは言い難い状況です。
特に企業における導入はまだまだ時間がかかりそうです。
主な要因を挙げます。
- 既存のシステムとの互換性 レガシーシステムの存在が大きな障壁となり、既存のシステムに統合するために、技術的な課題が生じます。
- コスト USBセキュリティデバイス等のFIDO2対応デバイスが必要となり、初期の導入コストがかかります。
- ユーザーや社内の抵抗感 多くの場合、人は変化を嫌います。
- 認知度や理解の低さ 残念ながらFIDO2の認知度は未だ低い状況です。
また「生産性向上」や「運用コスト削減」と言っても、効果を数値化することが難しく、ROIの算出が難しい現実があります。
新しいものへの抵抗感を持つことがあります。
利点や必要性を理解されず、導入に対して積極的にならずに他のプロジェクトを優先されることが考えられます。
最後に
普及までにはまだ時間がかかりそうですが、コンシューマー市場での普及をきっかけにして、エンタープライズでも導入が加速していくと思われます。
パーソルクロステクノロジーでは、認証情報の保護、認証強化、アクセス制御、など、アイデンティティに関する様々な課題解決を行っております。
エンジニアとしてチャレンジしたい方
パーソルクロステクノロジー社で実現しませんか?
パーソルクロステクノロジー社では現在、
Javaエンジニアやシステムエンジニアといったシステム開発人材として活躍したい方を募集しています。
パーソルクロステクノロジー社では、充実した環境で
データ人材としてのキャリアを歩むことができます。
- システム領域の「戦略」から「実行」までを担当
- 未経験者でも安心の教育制度(集合研修、e-learning研修、リモート学習など)
- 仕事とプライベートを両立できる環境
気になる方はぜひ下の詳細ページをクリックしてみてください。
