ビジネスやプライベートで複数のデバイスを利用するようになったいま、各デバイス・サービスへの認証情報の安全な管理は世界的な課題です。そうしたなかで、ログインIDやパスワードを必要としない「パスワードレス認証」の利用が広がっています。世界的に利用されているOSを展開するビッグテック、AppleやGoogle、Microsoftも、安全かつ円滑な認証方法としてパスワードレス認証の取り組みを拡大する方針を発表し、話題を集めました。

さまざまなデバイス・サービスに広がっているパスワードレス認証とは何か、特徴や導入方法などについて解説します。

パスワードレス認証とは

パスワードレス認証とは、パスワードではなく指紋や虹彩などの生体情報やPINコードを用いた認証方法です。スマートフォンのロック画面の解除や、パソコンのログイン時に使われる指紋認証、顔認証、スマートフォンの通知を用いた各種サービスへのログインなどがパスワードレス認証にあたります。

パスワードレス認証には種類があり、なかでも近年注目されているのがFIDO（Fast IDentity Online）によるパスワードレス認証です。

従来のパスワード認証では、ユーザーが入力したパスワードをサーバーに直接送信するため、ハッキングのリスクを排除できませんでした。一方FIDOの場合、端末内の認証結果のみをサーバーに送信するため、パスワードや認証情報はサーバー側で保持されることがありません。

このFIDOによって、より安全な認証が可能になりました。

パスワードレス認証を活用すべき理由

パスワードレス認証の利用が拡大している背景には、パスワードの詐取など後を絶たないトラブルがあります。IDとパスワードを入力して各種サービスの認証を行うプロセスでは、安易なパスワード設定や管理方法の甘さ、ハッキング、あるいはデバイスの盗難などによって情報が盗まれてしまう可能性が常にリスクとして存在します。

パスワードを必要とする認証では、パスワードさえわかれば誰でもデバイスやサービスにログインできてしまいます。企業でパスワード認証を採用している場合でも、パスワードの使い回しやパスワードを記入したメモの使用などによって、そのデバイスやサービスを利用する本人以外がログインできてしまうリスクも否定できません。

また前述した通り、パスワード認証ではパスワード情報がサーバーに直接送信されるため、ハッキングによってパスワードが詐取されてしまうこともあるのです。

認証情報の漏えいは、アカウントの不正利用や機密情報などの情報漏えいを引き起こします。企業や個人、顧客・取引先の大切な資産・情報を守るためにも、FIDOによるパスワードレス認証のように、安全なシステムが必要です。

パスワードレス認証の仕組み

パスワードレス認証は、ユーザーではなくデバイスが認証を行い、認証されたという情報を暗号化してサーバーに送信。その結果、各種システムやサービスへのログインが可能になる仕組みです。従来のIDとパスワードによる認証では、認証自体をユーザーとサーバー間で行いますが、パスワードレス認証ではその中間にデバイスが存在している関係性になります。

また、パスワードレス認証を実現する方法は、大きく3つに分類できます。

また、パスワードレス認証ではその方式にも複数の種類があり、FIDOには3つの規格があります。

● FIDO UAF（Universal Authentication Framework）

FIDOに対応した端末にて指紋などの生体情報を利用し認証を行う、安全性の高い認証方式です。デバイスの紛失や盗難があった際も、生体情報が必要なことから不正利用される可能性がほとんどありません。

● FIDO U2F（Universal Second Factor）

FIDO未対応の端末でもFIDOの仕組みを利用できる認証方式です。ただし、端末へのログインにはUSB型のキーやNFCに加え、ID・パスワード、もしくはPINコードの入力が必要なことから完全なパスワードレス認証とはいえません。

● FIDO2

2018年にリリースされた最新の認証方式です。専用のソフトウェアやデバイスを利用することなく、指紋や虹彩などの生体情報を用いたパスワードレス認証が可能です。2022年現在、さまざまなデバイスやOSにFIDO2が用いられています。

パスワードレス認証の安全性

パスワードレス認証では、主に生体情報を用いて認証を行うためID・パスワードを入力する認証方式よりも高い安全性を有します。また、認証に必要な生体情報やPINコードは認証デバイス内にのみ保存され、ネットワーク上に流出することがありません。本人以外がなんらかの端末・サービスにログインすることはほとんど不可能な仕組みです。

パスワードレス認証は、インターネット上からのハッキングだけでなく、紛失・盗難などさまざまなリスクに対応できる認証方式として評価されています。

パスワードレス認証のメリット

パスワードレス認証を導入するメリットは主に次の2つです。

• セキュリティ強化
• 利便性の向上と業務効率化

これまでも見てきた通り、セキュリティの強化は最大のメリットとなるでしょう。特にリモートワークが浸透した昨今では、従業員が持ち帰る端末のパスワードとデバイスの管理にセキュリティ上の課題を抱えている企業は多くあります。

次に利便性の向上です。パスワードレス認証は業務効率化にも役立ちます。

セキュリティ強化

上述の通り、パスワードレス認証では、認証に必要なパスワードや生体情報は端末側に保存され、サーバー側にわたることがありません。そのため、インターネット上から認証情報を詐取しハッキングすることはほとんど不可能です。

万が一デバイスが盗難にあった場合でも、本人の生体情報がなければ認証されません。パソコンなどの端末へのログインにパスワードレス認証を用いていれば、情報漏えいのリスクも防げるのです。

また、従業員間でID・パスワードや端末を使い回すことによって生じるリスクも防げます。情報漏えいリスクは社外だけでなく、社内にも存在し、ID・パスワードおよび端末の使い回しは、情報漏えいリスクを高めるものです。パスワードレス認証でデバイスとユーザーが紐付けられていれば、万が一情報が流出した場合も流出元の特定が容易になるのも利点です。

利便性の向上と業務効率化

端末へのログインだけでなく、さまざまなサービスへのログインの際、都度IDとパスワードを入力するのは大きな手間です。安全性の確保のために各サービスでIDとパスワードを変えている場合や、定期的にパスワードを変更している場合など、どのサービスにどのIDとパスワードを利用していたのかがわからなくなり、作業の手が止まってしまうこともあるでしょう。

パスワードレス認証の導入によって、ユーザーはこれらの手間から解放されます。DXの推進が求められている昨今、多くの企業では業務で活用するクラウド型サービスなどを複数導入しています。それらのツールを使うために、毎回認証作業が求められるのは、見逃せないコストとなるものです。

業務に必要なデバイスやツールに即座にログインできるパスワードレス認証は、ユーザーの利便性の向上に加え、業務効率化・生産性向上にも寄与するでしょう。

パスワードレス認証のデメリット

メリットの一方、パスワードレス認証には課題も指摘されています。

• デバイス自体を紛失するとログインできない
• 不具合などで認証がされない可能性がある

パスワードレス認証では、認証をデバイスで行う必要があるため、デバイス自体を紛失するとログインできなくなります。また、デバイスや生体情報に不具合があれば認証されない可能性も懸念されます。

デバイス自体を紛失するとログインできない

パスワードレス認証には、スマートフォンやタブレットなどの端末が必要です。認証に必要な端末を紛失した、あるいは故障した場合などでは、各種端末やサービスにログインできなくなってしまいます。認証に必要なデバイスは、慎重かつ厳重に管理する必要があるでしょう。

ただし、この課題は近々解消される見通しです。冒頭で述べた通り、AppleやGoogle、MicrosoftなどIT大手はパスワードレス認証の取り組みを拡大する方針を定めており、今後は端末の紛失や故障があっても新しい端末で認証が可能になる技術革新が見込まれています。

これは新たな認証技術によって、クラウドにFIDO認証のためのデータをバックアップしておけるようになったためです。大手IT各社のデバイスが新たな認証技術に順次対応していき、将来的には誰の端末を使っても自分の認証情報でのパスワードレス認証が可能になる未来が近づいています。

不具合などで認証がされない可能性がある

とくに生体情報を用いるパスワードレス認証では、生体情報の読み取りの不具合によって認証ができなくなる可能性が懸念されます。たとえば、虹彩や顔を認証に利用する場合、情報を読み取るカメラの故障やレンズの傷によって生体情報を正しく読み取れないことがあります。メガネの有無、髪型の違いで読み取れないこともあるでしょう。

また、指紋認証では指紋部分の傷や水分の付着、あるいは過度な乾燥によって読み取りに失敗するケースもあります。端末やカメラの故障に気をつけてデバイスを利用しなくてはいけません。

パスワードレス認証を導入する方法

パスワードレス認証を導入する場合は、複数のサービスでパスワードレス認証を実現するMicrosoftのAzure Active Directory（Azure AD）のようなクラウド型のサービスの利用が容易です。この方法であれば、デバイスの買い換えや高額な社内システムの構築は必要ありません。

また、DXの推進を背景に企業内で複数のクラウド型ツールを利用する例が増えています。クラウド型ツールはコスト削減や業務効率化に役立つものの、従業員全員のID・パスワードを管理するのに手間がかかるだけでなく、ID・パスワード方式はセキュリティリスクに常にさらされます。そこで利用されているのが、IDaaSと呼ばれる「複数サービスのID・パスワードをクラウド上で一元管理する」ソリューションです。

一般的なIDaaSでは多要素認証が用いられており、生体認証によるログインを採用しているサービスもあります。IDaaSの利用で、一度ログインすれば都度ログイン作業を行うことなく、複数サービスを利用できるようになるのです。

そのほか、業務に使用する端末でパスワードレス認証を実現するためには、Windows Hello対応のOS（Windows10、11）を導入するか、FIDO2を用いた生体認証が可能なUSBデバイスなど物理的な鍵を導入する必要があります。

IT技術と情報化社会の進展は、人々に便利さとセキュリティリスクをもたらしました。「どのようにして情報を守るのか」という世界的な課題は、今後も完全に消えることはないでしょう。パスワードレス認証に関する技術への理解、スキルの獲得は仕事の幅を広げてくれるに違いありません。