6.5 詳しく見るDigital WorkplaceCloud Services

パスワードレス:メリットとその課題とは?

Ravi Bindra
Ravi BindraCISO
A woman's finger is pointing at a colorful screen.

クラウドへの移行に伴い、IDおよびアクセス管理(IAM)は、これまで以上にセキュリティ面で重要なものとなっています。悪意のある人物は認証情報を盗む方法を探し続けており、パスワードの対策管理はますます重要になっています。

アクセス境界での攻撃のリスクを軽減する方法の1つは、パスワードレスの認証戦略に移行することです。結局のところ、推測やハッキングの対象となるパスワードがなければ、セキュリティは高まります。

ここでは、パスワードレス認証を導入するとどのようなメリットがあるのか、また、導入するための手順について詳しく見ていきましょう。

「パスワードレス」はより安全な未来への一歩か?

クラウド戦略を採用する企業が増える中、従来の認証方法では必要なセキュリティを確保できない場合があります。脅威となる人物は、多くの人がパスワードを再利用していることをすでに知っており、セキュリティチームは、パスワードの対策管理という苦しい戦いに常に立ち向かう必要があります。

パスワードには長い歴史がありますが、その間にベストプラクティスも進化してきました。ここでは、パスワード戦略の歴史と、それぞれの節目で何が起こったのかを説明します。

パスワードの誕生

コンピューターの黎明期には、パスワードは主に社内ネットワークシステムへのアクセスに使われていました。コンピューターは、部屋全体を占めるため、鍵のかかったドアの後ろに置かれることが多くありました。そこでは、誰かがメインフレームを使用した時間を追跡するためにパスワードが使用されていましたが、部屋の鍵となるのは認証プロセスそのものだったのです。

認証プロセスの進化

デスクトップ コンピューターがビジネスプロセスの標準となるにつれ、パスワードと認証は進化する必要がありました。この時点では、パスワードは物理的なデバイスと組織の内部ネットワークの両方へのアクセスを提供していました。これは、コンピューターがまだイーサネットケーブルを使ってローカルエリアネットワーク(LAN)に物理的に接続されていたことに起因します。ワイヤレス接続や、外部からLANにアクセスする機能がなければ、パスワードを使ってデバイスを認証することで、安全な接続が可能になりました。

インターネットとクラウドがすべてを変える

近年では、ワイヤレス接続やクラウドの導入により、パスワードに関するすべてが変わりました。パスワードと認証は、脅威となる人物に新たな攻撃手段をもたらしました。パスワードがあれば、世界のどこからでも企業のリソースにアクセスすることができます。

パスワード戦略はますます複雑になりました。現在、組織は以下のようなポリシーを確立し、実施する必要があります。

  • パスワードの長さ
  • 大文字と小文字を組み合わせたもの
  • 数字
  • 特殊文字
  • パスワードのローテーション期間

このような新しい要件のもと、多くの人が覚えやすいパスワードを使用し、同じパスワードを複数の場所で使いまわしていました。これにより、パスワードポリシーの目的が損なわれ、脅威となる人物に認証情報を盗んだり、辞書攻撃を行ったりする手段を与えてしまうことになったのです。

このような新たなリスクを軽減するために、組織は多要素認証(MFA)を採用し始めました。これは、ユーザーが以下の2つ以上の組み合わせを使用する必要があることを意味します。

  • ユーザーが知っているもの(パスワード)
  • ユーザーが持っているもの(トークン、スマートフォン)
  • ユーザーが持っているもの(生体認証)

残念ながら、悪意のある人物は、これらの制御を回避する方法を見つけることができます。例えば、悪意のある人物は、ソーシャルエンジニアリング攻撃を利用して、テキストメッセージの傍受、フィッシング、スプーフィングを行うことがよくあります。最終的には、セキュリティのベストプラクティスであっても、問題があり、本質的に危険なものとなってしまいます。

パスワードレスへの移行

脅威の担い手が戦略を進化させる中、企業もそれに追随してデジタル資産を保護する必要があります。こうして、パスワードレスへの移行が始まったのです。パスワードレスとMFAを混同しがちですが、多要素認証はパスワードレス戦略の一部に過ぎません。パスワードレスでは、「自分が所有しているもの」という要素を、環境への認証の主要な手段としています。

パスワードレス認証戦略の例としては、以下のようなものがあります。

  • ワンタイムパスワード(OTP)
  • 電子メールで送信されるワンタイムリンク
  • パーシステント クッキー(Persistent cookie)
  • 秘密のPIN
  • SMSまたはアプリケーションが生成したコード
  • 公開鍵基盤(PKI)公的個人認証
  • 生体認証

Microsoft 365におけるパスワードレス認証の導入

MFA はもはや組織が必要とするセキュリティ保証を提供しないため、Microsoft社は一連のサービスにパスワードレス認証を導入しました。ここでは、パスワードレス認証がどのようにMicrosoft 365に統合されるのか、また、組織がどのように活用できるのかを詳しく見ていきましょう。

Windows Hello for Business (WHfB)

Windows Hello for Business (WHfB)を使えば、IT部門は生体認証やPIN認証をユーザーのノートパソコンに直接結びつけることができます。これにより、デバイスの所有者以外は、デバイスやネットワークにアクセスできなくなります。WHfBは、シングルサインオン(SSO)に対応した公開鍵基盤(PKI)を採用し、パスワードレスの環境を実現しています。

Microsoft Authenticatorアプリ

多くの組織では、すでにAuthenticator アプリをMFAに使用していますが、パスワードレス認証にも使用することができます。Authenticator アプリの使用は、WHfBと同様のインフラに従っていますが、Azure Active Directory(AD)が使用しているAuthenticator アプリのバージョンを見つける必要があるため、ユーザーにとっては少し複雑です。

Fast Identity Online(FIDO2)キー

FIDO2セキュリティキーがあれば、ユーザーは好きなタイプの認証フォームを使うことができます。ユーザーは登録後、サインインする際にFIDO2セキュリティキーを選択します。FIDO2キーデバイスには、以下のものがあります。

  • USB
  • Bluetooth
  • 近距離無線通信(NFC)

パスワードレスを実現する方法

ビデオ(英語)

パスワードレス認証戦略の利点と課題

パスワードレス戦略は、セキュリティの強化やその他の大きなメリットがある一方で、エンドユーザーにとっての課題がないわけではありません。ここでは、いくつかの一般的なパスワードレス戦略について、それぞれの長所と短所を見ていきましょう。

電子メール

電子メールは、おそらく最も簡単に導入できるパスワードレス方式です。さらに、最もコストがかかりません。IT部門は、エンドユーザーが認証メールを受信する必要があるという要件を設定するだけで、この戦略を実施することができます。

このようなメリットがある一方で、パスワードレスのメール戦略にはコストがかかります。エンドユーザーは、追加のアプリケーションを開いてメールを待つ必要があるため、抵抗を感じることが多いといえます。さらに、サイバー犯罪者がフィッシング攻撃を利用してメールアカウントの侵害に成功した場合、パスワードレスの導入は安全ではなくなります。

モバイル トークン

モバイル トークンは、おそらく最も一般的なオプションです。Microsoft Authenticatorアプリと同様に、モバイル トークンは強固なセキュリティを提供しながら、コスト効率の良さも兼ね備えています。企業は追加のテクノロジーやメンテナンスコストを必要としません。

しかし、エンドユーザーにとっては、携帯電話に別のアプリケーションを追加する必要があります。さらに、ユーザーによっては、リソースにログインする必要があるときにデバイスを手に取ることが、日々のビジネス活動に影響を与えることもあります。

ハードウェア トークン

WHfBやFIDO2キーのようなハードウェア トークンは、すべての選択肢の中で最も安全性の高いものです。エンドユーザーは、WHfBのようにすでにデバイスを使用する必要があるか、あるいは、トークンを持ち歩くことがセキュリティ上の障壁になると考えています。

一方で、これらのパスワードレス戦略は、導入コストが最も高くなります。企業はハードウェアを購入するだけでなく、IT部門が管理と継続的なメンテナンスを管理する必要があります。また、エンドユーザーがデバイスを紛失したり、盗難にあったりすると、セキュリティリスクが生じます。

パスワードレス戦略を展開する際に避けるべきこと

パスワードレス認証は、急速にスタンダードになりつつありますが、企業は、計画プロセスの一環として、いくつかの懸念事項を考慮する必要があります。例えば、すべてのパスワードレス戦略には、導入のための直接的なコストがかかりますが、隠れたコストを考慮することも重要です。これには次のようなものがあります。

  • 管理部門
  • 在庫資産
  • メンテナンス

また、セキュリティ ソリューションは、エンドユーザーが導入して初めて機能することを忘れてはなりません。導入プロセスで失敗した組織は、すぐに振り出しに戻ってしまうかもしれません。従業員がパスワードレス認証に何を求めているかに注意を払ってください。強力なパスワードレス戦略には、以下が含まれる必要があります。

  • 使いやすさ
  • ワークフローへの組み込み能力
  • エンドユーザーの責任

結論 :「パスワードレス」は見た目よりも安全

セキュリティ、そしてより重要なアクセスの確保は、企業の財務および評判の安定性にとってますます重要になっています。遠隔地にいる従業員が個人のものも含めてさまざまなデバイスを使用し、より多くのデータがクラウドに移行している中、アクセスを保護し、パスワードレスを導入することは、セキュリティ上の主要な目的です。

SoftwareOneのマネージド365セキュリティの提供により、企業はパスワードレス セキュリティのベストプラクティスを設計、実装、維持することができます。SoftwareOneのエンドツーエンドのサービスにより、企業はプロアクティブにデータを保護・監視し、Microsoft 365環境を守ることができます。

A blue and purple background with waves on it.

Microsoft 365でパスワードレスを実現

パスワードのハッキングがなければ、従業員はより安全な環境で働くことができます。M365の最新のパスワードレス機能をどのように活用できるのか、SoftwareONEはどのようにサポートできるのかをご紹介します。

Microsoft 365でパスワードレスを実現

パスワードのハッキングがなければ、従業員はより安全な環境で働くことができます。M365の最新のパスワードレス機能をどのように活用できるのか、SoftwareONEはどのようにサポートできるのかをご紹介します。

Author

Ravi Bindra

Ravi Bindra
CISO

Ravi holds over 20 years’ experience as a cyber security evangelist, holding multiple leadership roles in the Swiss pharmaceutical industry, such as Global Head of Risk Management, Global Head of Architecture and Global Head of Security Operations.