メディア
特集
» 2022年03月01日 07時00分 公開

パスワードレス認証でリスク回避 運用軽減と利便性向上を両立できるってホント?

SaaSのログイン情報が盗まれ、架空の請求書による被害や機密情報の漏えいなど多くの社会問題が起きている。パスワードに頼らないSaaS認証を、セキュリティベンダーの専門家が解説した。

[指田昌夫,キーマンズネット]

 SaaSのログインには、一般的にIDとパスワードによる認証が用いられる。ただ、ログイン情報が盗まれることでなりすましログインをされ、架空の請求書による被害や、個人情報や機密情報を漏えいするなど、社会的問題も起きている。

 ウィンマジック・ジャパンの田沼洋之氏が、ITサービス利用におけるID、パスワードを用いた認証の危険性とパスワードに頼らないSaaS認証について説明した。

本稿は、マジセミが2022年1月14日に開催したWebセミナーの講演を基に、編集部で構成した。

データ侵害の80%はIDとパスワードの盗難が原因

 世の中のデータ侵害のうち80%以上がパスワードの流出により発生しており、企業のパスワード管理コストによる生産性低下で発生する経済損失は、毎年520万ドルにもなると田沼氏は言う。

 「パスワードは長きにわたりセキュリティと利便性のバランスをとる唯一のソリューションだったが、今やそれ自体に問題があると言わざるを得ない」(田沼氏)

 田沼氏は、パスワードによる認証が起こす問題について説明した。

パスワード情報は何らかの形でサービス提供会社のサーバに保存され、ユーザーの設定次第ではWebブラウザにも記録される。認証時もオンラインに暗号化なしでパスワード情報が流れた場合は犯罪者の格好の攻撃対象になる。

図1 IDとパスワードが攻撃されるイメージ(出典:田沼氏の講演資料)

 パスワードの管理運用にもセキュリティリスクがある。総務省のガイドラインでは、「企業は社員に対して、パスワードを定期的に変える指示を出すべきでない」としている。

 「これはNIST(米国立標準技術研究所)のガイドラインに沿った内容だ。パスワードを定期的に変える指示をすると、ユーザーは自分が覚えられる簡単なパスワードを設定しがちだ。パスワードを変えない場合は厳格なルールで堅ろうなパスワードを設定する必要がある」(田沼氏)

 だが現実には利用するSaaSごとにパスワード設定のポリシーが異なるため、パスワードの管理が煩雑になる。「結果的に簡単なパスワードの設定やパスワードの使い回しが起こるのが現状だ」と田沼氏は言う。

 SaaSベンダーのパスワードに対する対応も変わりつつある。Salesforceは、2022年2月から多要素認証によるログインが必須化され、IDとパスワードだけでは利用できなくなった。「他のサービスでも同様の動きが広がるのでは」と田沼氏は述べる。

だが、多要素認証といっても、SMSはSIMスワップやSMSインターセプトなど傍受される可能性があり、ワンタイムパスワードは、認証を受ける側と認証する側で鍵を共有する仕組みのため、万全のセキュリティ対策とはいえない。

そのため、IDとパスワードに代わる、新しい認証方式が求められている。

パスワードに頼らない「FIDO認証」とは何か

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。