ブログ記事
パスワードレス認証:概要と仕組み
パスワードレス認証とは
パスワードレス認証とは、生体認証、権限審査(ID棚卸)もしくはワンタイム パスワード(OTP)を使用する認証またはアイデンティティ(ID)検証手法のことです。パスワードレス認証は、従来のパスワードのセキュリティ質問やPINコードよりも安全であると考えられており、セキュリティの強化、管理負担の軽減、ユーザー アクセスの簡素化を実現します。パスワードレス認証は通常、多要素認証(MFA)またはシングルサインオン(SSO)と組み合わせて使用されます。
従来のように盗まれたり、共有されたり、再利用されるのリスクがある認証方法とは異なり、パスワードレス認証では、ユーザーは所有要素または生得要素を使用してIDを検証する必要があります。所有要素とは、登録済みのモバイル端末や発行済みのハードウェア トークンなど、ユーザーを特定し、かつ他のユーザーが所有していないものを指します。生得要素の例には、指紋、拇印、手のひら、手形、音声認証、顔認証、網膜または虹彩スキャンなどがあります。
パスワードレス認証は、漏洩したり、推測されたり、解析されることが多いパスワードに代わる、効果的な代替手段を提供します。セキュリティを強化することで、パスワード認証の脆弱性を悪用する、さまざまな既知の攻撃を防御できます。
パスワードレス認証が防御する攻撃の種類には、次のようなものがあります。
パスワードレス認証には、複数の保護層をはじめ、次のようなさまざまな利点があります。
サポート チームへの影響が少ない
従来のパスワードベース認証よりもユーザー フレンドリー
インフラの縮小によるTCO(総保有コスト)の削減
ユーザーの認証や承認など一連の業務の複雑さを軽減
ユーザーはパスワードを覚える必要がない
パスワードレス認証の種類
生体認証
高度なスキャナーを使用して、生体認証要素(指紋、拇印、手のひら、手形、音声認証、顔認証、網膜または虹彩スキャンなど)を取得し、認証データベースに保存されたデータと照合、検証します。
ハードウェア トークン
ハードウェア トークンとは、ユーザーが作動させるたびにワンタイム パスワード(OTP)を生成する小型の電子端末(キーホルダー、USB端末など)のことです。ユーザーを認証するために、コードをシステムに入力します。
マジック リンク
マジック リンクは、ID検証のためにメールまたはテキストでユーザーに送信される、1回限りのURLです。ユーザーがリンクをクリックすると、バックグラウンドで動作する認証アプリケーションが端末とデータベース内のトークンを照合します。
ネイティブ オプション
パスワードレス認証ツールは、GoogleやMicrosoftなどの一部のアプリケーションやシステムに組み込まれています。このパスワードレス認証のネイティブ オプションにより、ユーザーは他のアプリケーションを使用するのではなく、これらのアプリケーションから直接コードにアクセスできるようになります。
永続的Cookie
永続的Cookieは、認証済み端末に保存されます。これらのCookieは、端末ユーザーのサイン オン認証情報を記憶しています。ユーザーがログインすると、永続的Cookieを使用して、アクセス権許諾に基づいてリソースへのアクセス権限が付与されます。永続的Cookieは、システム上に永続的に保持することも、指定された時間が経過すると期限切れになるように設定することもできます。
スマート カード
スマート カードとは、ユーザーを認証し、リソースへのアクセス権限を付与するために、カード リーダーを使用してスキャンする物理カードのことです。多くのスマート カードはチップにデータを保存し、RFID(Radio-Frequency IDentification)を使用して接続します。
パスワードレス認証の仕組み
パスワードレス認証では、セキュリティで保護されたリソースへのアクセス権限を付与する前に、ID検証のためにユーザーの所有物(トークン用キーホルダーなど)または生得要素(指紋など)を使用して認証するよう求められます。ユーザーが実行する手順は、登録と検証の2つのフェーズに分かれています。
パスワードレス認証の登録
ユーザーが初めてアプリケーションまたはサービスにアクセスすると、登録承認リクエストを受け取ります。リクエストを承認するには、パスワードレス認証(生体認証など)を使用して検証する必要があります。
リクエストが承認されると、ユーザーの秘密暗号化キーが生成されます。
公開暗号化キーが、アプリケーションまたはサービスに送信されます。
パスワードレス認証の検証
ユーザーがログインしようとすると、チャレンジが生成され、ユーザーの端末に送信されます。
ユーザーは、確立されたパスワードレス認証方法を使用して秘密キーのロックを解除することで、チャレンジに応答します。
秘密キーを使用して、チャレンジを完了します。
ユーザーがアクセス権限を取得するには、公開キーが秘密キーを受け入れる必要があります。
データ セキュリティとパスワードレス認証
パスワードレス認証は、従来のパスワード固有の脆弱性を軽減し、次の方法でデータ セキュリティを大幅に向上させます。
データ セキュリティを損なうことなく、顧客満足度を向上。
機密情報のデータ セキュリティを大幅に向上。
データ セキュリティの強化により、シームレスなユーザー体験を提供。
データ セキュリティのコストを削減。
パスワードレス認証と多要素認証(MFA)との比較
パスワードレス認証と多要素認証(MFA)は混同されがちで、同義語であると見なされることが多いです。パスワードレス認証は多要素認証(MFA)の一種ですが、使用する要素が異なります。パスワードレス認証ではパスワードを使用しませんが、MFAではID検証要素の一つとしてパスワードを使用します。
パスワードレス認証の実装
パスワードレス認証は、さまざまな方法で実装できます。最も一般的な方法は、生体認証、FIDO(ファイド)トークン、ワンタイム コードです。
生体認証では、生体認証センサーを備えた端末を使用します。
FIDOトークンでは、ワンタイム コードを生成する物理端末を使用します。
マジック リンクは、ユーザーのメールまたは電話番号に送信されます。
ワンタイム コードでは、ユーザーのメール アドレスまたは電話番号にパスコードを配信します。
組織はこれらのいずれか一つを使用するか、複数の方法を組み合わせて実装することができます。たとえば、初回のID検証でワンタイム コードまたはFIDOトークンを使用し、その後の追加認証で生体認証を使用することができます。
パスワードレス認証を実装する手順は次のとおりです。
認証モードを選択します(生体認証、FIDOトークン、マジック リンク、ワンタイム コードなど)。
使用する要素の数を決定します。複数の要素を使用することがベストプラクティスです。
サポートするハードウェア システムとソフトウェア システムを取得、展開します。
認証システムにユーザーを登録します(例:顔認証システムに登録するために、全社員の顔をスキャンします)。
パスワードレス認証とアダプティブ認証
生得要素、所有物要素、マジック リンクをハッキングすることは難易度が上がりますが、不可能ではありません。パスワードレス認証とアダプティブ認証を組み合わせることで、アクセス セキュリティを強化できます。
アダプティブ認証は、パスワードレス認証に人工知能(AI)を利用した保護層を追加し、機械学習(ML)を使用して一般的なユーザー行動パターンを策定します。パターンの逸脱はリスクを表し、指定されたセキュリティ対応を引き起こします。例えば、ユーザーに二次認証を要求したり、アカウントをロックしたりすることです。
パスワードレス認証とゼロトラスト
ゼロトラスト セキュリティ戦略では、あらゆる種類の信頼を排除する必要があります。つまり、ID認証のために従来のパスワードを使用できなくなります。パスワードは信頼性が低く、コストがかかるだけでなく、ゼロトラスト プログラムの遅延につながるからです。パスワードレス認証は、ゼロトラストの原則に準拠しており、その他多くのメリットが得られるため、合理的な代替手段であると言えます。
主要な攻撃ベクトルの軽減
一般的に、パスワードは、データ侵害の主な原因の一つであると考えられています。パスワードレス認証を使用すれば、この脆弱性を軽減できます。
一部の強化されたセキュリティ ソリューションとは異なり、パスワードレス認証はコスト効率が高く、ユーザー フレンドリーです。業種や規模を問わず、多くの組織がパスワードレス認証の導入に成功しています。デジタル資産を保護したいと考えているすべての組織が、パスワードレス認証の導入を検討する必要があるでしょう。
IDを活用して企業のサイバー セキュリティを強化する5つの方法をご確認ください。
FAQ
よくある質問
パスワード認証と多要素認証の違いは?
パスワードレス認証は多要素認証(MFA)の1つです。パスワードレス認証ではパスワードを使用しませんが、多要素認証ではIDの検証要素の一つとしてパスワードを使用します。
パスワードレス認証のデメリットは何ですか?
自社内で実装する場合、初期投資が必要になります。また、認証に使用するデバイスに不正アクセスが行われた場合、データ侵害のリスクが高まります。