クラウドへの移行に伴い、IDおよびアクセス管理(IAM)は、これまで以上にセキュリティ面で重要なものとなっています。悪意のある人物は認証情報を盗む方法を探し続けており、パスワードの対策管理はますます重要になっています。
アクセス境界での攻撃のリスクを軽減する方法の1つは、パスワードレスの認証戦略に移行することです。結局のところ、推測やハッキングの対象となるパスワードがなければ、セキュリティは高まります。
ここでは、パスワードレス認証を導入するとどのようなメリットがあるのか、また、導入するための手順について詳しく見ていきましょう。
クラウド戦略を採用する企業が増える中、従来の認証方法では必要なセキュリティを確保できない場合があります。脅威となる人物は、多くの人がパスワードを再利用していることをすでに知っており、セキュリティチームは、パスワードの対策管理という苦しい戦いに常に立ち向かう必要があります。
パスワードには長い歴史がありますが、その間にベストプラクティスも進化してきました。ここでは、パスワード戦略の歴史と、それぞれの節目で何が起こったのかを説明します。
コンピューターの黎明期には、パスワードは主に社内ネットワークシステムへのアクセスに使われていました。コンピューターは、部屋全体を占めるため、鍵のかかったドアの後ろに置かれることが多くありました。そこでは、誰かがメインフレームを使用した時間を追跡するためにパスワードが使用されていましたが、部屋の鍵となるのは認証プロセスそのものだったのです。
デスクトップ コンピューターがビジネスプロセスの標準となるにつれ、パスワードと認証は進化する必要がありました。この時点では、パスワードは物理的なデバイスと組織の内部ネットワークの両方へのアクセスを提供していました。これは、コンピューターがまだイーサネットケーブルを使ってローカルエリアネットワーク(LAN)に物理的に接続されていたことに起因します。ワイヤレス接続や、外部からLANにアクセスする機能がなければ、パスワードを使ってデバイスを認証することで、安全な接続が可能になりました。
近年では、ワイヤレス接続やクラウドの導入により、パスワードに関するすべてが変わりました。パスワードと認証は、脅威となる人物に新たな攻撃手段をもたらしました。パスワードがあれば、世界のどこからでも企業のリソースにアクセスすることができます。
パスワード戦略はますます複雑になりました。現在、組織は以下のようなポリシーを確立し、実施する必要があります。
このような新しい要件のもと、多くの人が覚えやすいパスワードを使用し、同じパスワードを複数の場所で使いまわしていました。これにより、パスワードポリシーの目的が損なわれ、脅威となる人物に認証情報を盗んだり、辞書攻撃を行ったりする手段を与えてしまうことになったのです。
このような新たなリスクを軽減するために、組織は多要素認証(MFA)を採用し始めました。これは、ユーザーが以下の2つ以上の組み合わせを使用する必要があることを意味します。
残念ながら、悪意のある人物は、これらの制御を回避する方法を見つけることができます。例えば、悪意のある人物は、ソーシャルエンジニアリング攻撃を利用して、テキストメッセージの傍受、フィッシング、スプーフィングを行うことがよくあります。最終的には、セキュリティのベストプラクティスであっても、問題があり、本質的に危険なものとなってしまいます。
脅威の担い手が戦略を進化させる中、企業もそれに追随してデジタル資産を保護する必要があります。こうして、パスワードレスへの移行が始まったのです。パスワードレスとMFAを混同しがちですが、多要素認証はパスワードレス戦略の一部に過ぎません。パスワードレスでは、「自分が所有しているもの」という要素を、環境への認証の主要な手段としています。
パスワードレス認証戦略の例としては、以下のようなものがあります。
MFA はもはや組織が必要とするセキュリティ保証を提供しないため、Microsoft社は一連のサービスにパスワードレス認証を導入しました。ここでは、パスワードレス認証がどのようにMicrosoft 365に統合されるのか、また、組織がどのように活用できるのかを詳しく見ていきましょう。
Windows Hello for Business (WHfB)を使えば、IT部門は生体認証やPIN認証をユーザーのノートパソコンに直接結びつけることができます。これにより、デバイスの所有者以外は、デバイスやネットワークにアクセスできなくなります。WHfBは、シングルサインオン(SSO)に対応した公開鍵基盤(PKI)を採用し、パスワードレスの環境を実現しています。
多くの組織では、すでにAuthenticator アプリをMFAに使用していますが、パスワードレス認証にも使用することができます。Authenticator アプリの使用は、WHfBと同様のインフラに従っていますが、Azure Active Directory(AD)が使用しているAuthenticator アプリのバージョンを見つける必要があるため、ユーザーにとっては少し複雑です。
FIDO2セキュリティキーがあれば、ユーザーは好きなタイプの認証フォームを使うことができます。ユーザーは登録後、サインインする際にFIDO2セキュリティキーを選択します。FIDO2キーデバイスには、以下のものがあります。
パスワードレス戦略は、セキュリティの強化やその他の大きなメリットがある一方で、エンドユーザーにとっての課題がないわけではありません。ここでは、いくつかの一般的なパスワードレス戦略について、それぞれの長所と短所を見ていきましょう。
電子メールは、おそらく最も簡単に導入できるパスワードレス方式です。さらに、最もコストがかかりません。IT部門は、エンドユーザーが認証メールを受信する必要があるという要件を設定するだけで、この戦略を実施することができます。
このようなメリットがある一方で、パスワードレスのメール戦略にはコストがかかります。エンドユーザーは、追加のアプリケーションを開いてメールを待つ必要があるため、抵抗を感じることが多いといえます。さらに、サイバー犯罪者がフィッシング攻撃を利用してメールアカウントの侵害に成功した場合、パスワードレスの導入は安全ではなくなります。
モバイル トークンは、おそらく最も一般的なオプションです。Microsoft Authenticatorアプリと同様に、モバイル トークンは強固なセキュリティを提供しながら、コスト効率の良さも兼ね備えています。企業は追加のテクノロジーやメンテナンスコストを必要としません。
しかし、エンドユーザーにとっては、携帯電話に別のアプリケーションを追加する必要があります。さらに、ユーザーによっては、リソースにログインする必要があるときにデバイスを手に取ることが、日々のビジネス活動に影響を与えることもあります。
WHfBやFIDO2キーのようなハードウェア トークンは、すべての選択肢の中で最も安全性の高いものです。エンドユーザーは、WHfBのようにすでにデバイスを使用する必要があるか、あるいは、トークンを持ち歩くことがセキュリティ上の障壁になると考えています。
一方で、これらのパスワードレス戦略は、導入コストが最も高くなります。企業はハードウェアを購入するだけでなく、IT部門が管理と継続的なメンテナンスを管理する必要があります。また、エンドユーザーがデバイスを紛失したり、盗難にあったりすると、セキュリティリスクが生じます。
パスワードレス認証は、急速にスタンダードになりつつありますが、企業は、計画プロセスの一環として、いくつかの懸念事項を考慮する必要があります。例えば、すべてのパスワードレス戦略には、導入のための直接的なコストがかかりますが、隠れたコストを考慮することも重要です。これには次のようなものがあります。
また、セキュリティ ソリューションは、エンドユーザーが導入して初めて機能することを忘れてはなりません。導入プロセスで失敗した組織は、すぐに振り出しに戻ってしまうかもしれません。従業員がパスワードレス認証に何を求めているかに注意を払ってください。強力なパスワードレス戦略には、以下が含まれる必要があります。
セキュリティ、そしてより重要なアクセスの確保は、企業の財務および評判の安定性にとってますます重要になっています。遠隔地にいる従業員が個人のものも含めてさまざまなデバイスを使用し、より多くのデータがクラウドに移行している中、アクセスを保護し、パスワードレスを導入することは、セキュリティ上の主要な目的です。
SoftwareOneのマネージド365セキュリティの提供により、企業はパスワードレス セキュリティのベストプラクティスを設計、実装、維持することができます。SoftwareOneのエンドツーエンドのサービスにより、企業はプロアクティブにデータを保護・監視し、Microsoft 365環境を守ることができます。
パスワードのハッキングがなければ、従業員はより安全な環境で働くことができます。M365の最新のパスワードレス機能をどのように活用できるのか、SoftwareONEはどのようにサポートできるのかをご紹介します。
パスワードのハッキングがなければ、従業員はより安全な環境で働くことができます。M365の最新のパスワードレス機能をどのように活用できるのか、SoftwareONEはどのようにサポートできるのかをご紹介します。
