パスワード認証のデメリット

WHOやCDCなどの新型コロナウイルス関連機関がサイバー攻撃を受け、2万5000件以上の関係者のパスワード情報が流出した事件は記憶に新しいですね。
日本国内でも、様々なサービスでパスワード漏洩事件が発生し、多くの人々の個人情報が危険に晒されています。
私たちが当たり前のように登録している「ユーザー名+パスワード」のログイン方式ですが、脆弱性以外にもいろいろなデメリットがある事に気づきました。
パスワード管理に対するセキュリティの問題は調べればたくさん出てくるので、今回は管理コストに重点を置いて問題点を挙げてみます。

1.パスワードが記憶できない

ありとあらゆるWEBサービスを利用することが当たり前になった世の中で、ひとつひとつのログインパスワードを頭の中に記憶することは普通の人なら不可能に等しいのではないでしょうか。

2.サービス運営側の管理コストの高さ

ユーザーのパスワード情報管理は、サービス提供者側にも大きな負担を強いています。
個人情報を取り扱うデータベースへのセキュリティ対策には大きな費用がかかりますし、日々、巧妙化するサイバー攻撃に対してアップデートしていく必要があります。サイバーセキュリティに対するランニングコストはかなりの額になります。
ある会社の社内システムでは、ITヘルプデスク宛に毎月およそ2000件ものパスワード忘れに関する質問が寄せられると言われています。パスワード忘れを案内するという業務自体、問い合わせに対応する社員、回答を待つ社員、双方にとって生産的な仕事とは言えません。

テレワークの普及で、社内ネットワーク制限も利用できず

社外秘の情報を扱うクラウドシステムを利用する場合は、自社のプライベートIPからのアクセスのみを許可する設定にしている企業も多く存在すると思いますが、緊急事態宣言の影響下で在宅勤務を余儀なくされた社員が、自宅のネットワークから社内システムにアクセスできず仕事ができない、という事例も多く耳にします。
VPNによって自宅から社内ネットワークに接続させる場合も、接続プロセスが煩雑だったり、回線速度が遅かったり、社員数分の回線が確保できなかったり、様々な問題があるようです。また、それらの課題を解決するにはインフラの増強が必要で、企業側にもある程度の時間とコストを要します。

パスワードがいらない・かつセキュアな認証方法が今後の主流に

これらの問題点に対する解決策は、パスワードを使わずに「本人であること」を証明する認証方法を実装することです。
従来、生体認証(バイオメトリクス)技術によるセキュリティ対策は注目を集めていましたが、専用端末の準備やコスト高などから、二の足を踏む企業も多かったのではないでしょうか。しかし、端末を問わない世界標準のハードが登場したことから、近年になって導入のハードルがぐっと下がっているようです。

FIDO2による生体認証

パスワードレスな認証方法で既に注目を集めているのが、FIDOという認証の仕組みです。

FIDOは、Fast IDentity Onlineの略で、直訳すると「素早いオンライン認証」という意味になります。公開鍵認証方式を応用し、オンライン経由で認証を行う仕組みです。”
引用元:WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本(エンジニアHub)

FIDOを使うと、端末に搭載されている指紋認証や顔認証機能によって本人を特定し、アプリケーションにログインできるようになります。
PINコード(個体識別番号)でも認証可能です。このPINコードは、パスワードと混同されがちですが、基本的にネットワーク上に流れない情報のため、リスクを低減させることができます。

WebAutunによって、Webサービス上でもFIDO2認証が可能に

WebAuthnというAPIを使うと、JavaScriptとしてもFIDO2が利用できるようになります。
国内事例はまだ少ないようですが、FIDOアライアンスからも支援を受けていて、W3C標準にも認定されているので、今後WebAuthnの利用事例はどんどん増えていくのではないでしょうか。

既存サービスのSSO(シングルサインオン)を使う

SSO(シングルサインオン)とは、一つの認証手段で複数のサービス・アプリケーションにログインできる認証方法のことです。すでに利用しているGoogleアカウントやOffice365アカウントを使ってシステムにログインできるので、毎回パスワードを入力したり、複数のログイン情報を管理したりする必要がなくなります。
他にも、FacebookやTwtterなど、「ソーシャルログイン」と呼ばれるものもあります。

「手間を減らす」ことがセキュリティ対策に繋がる

人間側に面倒な手間を増やすと、パスワードの流用や、「123abc」のような安易なパスワードを設定するなど、どうしても欠陥が生まれます。
また、テレワークが普及した昨今、あらゆる環境下で社内システムにアクセスせざるを得ないシーンが増え、認証方法も多様性が求められています。
今回ご紹介した生体認証やSSOが2020年以降の主流になっていくことを願います。

お問い合わせはこちら