パスキーの仕組みを分かりやすく解説 企業にどう役立つか

パスワードの問題を一気に解決できる「パスキー」の採用が広がっている。パスキーを採用すれば社外向けのサービスだけでなく、社内向けのサービスのセキュリティも向上できるという。

[畑陽一郎，ITmedia]

　パスキーはパスワードを代替する技術の有力候補だ。ユーザーの記憶に頼らず、漏えいの可能性もずっと低い。そのため、Webサービスにログインするユーザー向けのサービスで導入が進んでいる。NTTドコモや任天堂など大量のユーザーを抱える企業がまずパスキーに飛びついた。

　では、外部のユーザー向けにWebサービスを提供していない企業はパスキーと無関係なのだろうか。実はそうではない。

従業員の保護に役立つパスキー

　なぜならパスキーは従業員の保護に役立つからだ。どのようにして従業員を保護できるのかを紹介しよう。

　パスキーがハイブリッド環境におけるアイデンティティー（ID）の保護に役立つと指摘するのはパスワード管理ソリューションを提供する1Passwordのロブ・ブーン氏だ

　ブーン氏は企業におけるIDの危機について次の事実を示した。「2023年には、データ侵害の70％がIDに関係しており、これは盗まれたパスワードのような単純な脆弱（ぜいじゃく）性に原因があるだろう。Forrester Researchはこれが2024年には90％に達すると予測している」

　なぜIDの危機が持ち上がったのだろうか。ブーン氏は原因の上位にハイブリッドワークがあると指摘する。セキュアな職場に閉じこもって仕事をしたり、VPNを使ってセキュアなネットワークにアクセスしたりするだけでなく、オフィスや自宅、喫茶店、空港などあらゆる場所で仕事を進める従業員が増えた。

　さらに会社から支給されたPCなどのデバイスだけを使って仕事をするのではなく、オフィスでもリモートでも個人のPCを使って仕事をこなしている従業員がいる。

　アプリケーションにも課題がある。Gartnerによると、現在、従業員は2019年時点の2倍の数のアプリケーションを仕事に使うという。

　これらの負担は企業のIT部門にのしかかっている。IT部門は平均して仕事に使う約125のアプリケーションを管理し、保護しなければならない。複数のデバイスから、さまざまな場所からアプリケーションにアクセスが集まるため、IT部門が守らなければならないセキュリティ境界を堅固な壁にすることはできなくなった。現在の境界は壁というより網であり、さらに網の位置が常に変化している。

　過去に戻ることはもはや不可能だ。社内ネットワークや会社が提供するデバイスの周囲に仮想的な壁を築く努力は報われない。その代わりに、従業員のセキュリティを確保するにはIDを検証する必要がある。これはゼロトラストの考え方だ。アクセスがあるたびに「このアクセスは許可されるべきか」だけでなく、「アクセスしてきた人物は本人なのか」を一つ一つ検証しなければならない。

　サイバー攻撃はIDの窃取から始まるものが多い。つまりIDを検証すれば攻撃者のアクセス試行を無効にでき、より安全になる。

IDセキュリティには3つの側面がある

　言うのはたやすいがどうやってIDを検証すればよいのだろうか。ハイブリッドワークで働く従業員を保護するには、どのようなセキュリティ対策が本人確認に役立つのだろうか。

　強力な本人保護を実現する技術「パスキー」が解決策として役立つ。

　パスキーは、パスワードに代わるより安全な技術だ。パスキーはユーザーが記憶している文字列の代わりに公開鍵暗号方式を用いる。アクセスに必要な鍵を公開鍵と秘密鍵の2つに分けて安全性を高める。

　公開鍵はユーザーが利用を開始したサービス側に格納されている。秘密鍵はユーザーのデバイス内部に保存されており、そこから外に出ることはない。これらの2つの鍵は、パズルのピースのように数学的にリンクすることで機能する。ユーザーがサービスにアクセスしようとすると、そのサービスはパズルのピースが合うかどうかをチェックする。ピースが合えば、ユーザーはサインインできる。この手続きがユーザーの意識に上ることはなく、ユーザーが何かを処理する必要はない。

　パスキーは多くの場合、生体認証に支えられている。ユーザーは指紋やAppleが開発した「Face ID」のようなユーザーのデバイスが備える生体認証を使って、秘密鍵と公開鍵が一致しているかどうかをチェックする許可をサービスに与えている。

　従来のパスワードと比較してパスキーは実際に安全なのだろうか。

　多要素認証（MFA）を考えてみよう。MFAの「多要素」とは、複数の要素を使ってサインインすることだ。これらの要素は、ユーザーが知っているもの、ユーザーの生態情報に関係するもの、ユーザーが所有するものの3つのうちのどれかだ。

　MFAは通常、これら3つの要素のうち2つを使用する。ただし、ユーザーが知っている何か（パスワード）を他のユーザーが知っている何かでより安全にすることはあまり意味がない。どちらも盗まれる可能性があるからだ。

　パスワードはユーザーが知っている情報だ。「YubiKey」のようなハードウェアキーを二要素認証に使う場合、ユーザーが知っているもの（パスワード）とユーザーが持っているもの（YubiKeyデバイス）を組み合わせることになる。これは偽造が難しい。生体認証（バイオメトリクス）は、ユーザーの顔や指紋でユーザーの身元を確認する。これも偽造が難しい。

　パスキーはユーザーが持っているもの（ユーザーのデバイス上の秘密鍵）であり、さらにユーザーがその秘密鍵へのアクセス許可をサービスに与える際には、ユーザーの生態情報で保証する。

　このようにしてパスキーではユーザーのデジタルIDが検証される。秘密鍵はユーザーのデバイスから離れることはないため、フィッシング攻撃で漏えいすることはない。実際、これが攻撃者によるソーシャルエンニアリングのほとんどの試みにパスキーが耐性を持つ理由だ。

結局パスワードはパスキーに取って代わられるのか

　パスキーを使うとセキュリティ性が高まり、同時にユーザーの負担が減る。そのためパスキーの普及は進んでいくだろう。しかし、パスワードがすぐにはなくなることはない。パスワードはあまりにも広く一般的に使われており、ユーザーも慣れているからだ。

　この状態はしばらく続く。つまり脆弱で、漏えいしやすいパスワードを狙ったサイバー攻撃が続く。パスワードを使い続ける企業はこれに備えなければならない。数十のアプリケーションを従業員が使っているのなら、どうしても弱くてありふれたパスワードを従業員が使い回す可能性が残る。

　このような従業員の行動に対応するには企業向けのパスワードマネジャーが適しているだろう。パスワードマネジャーを採用すれば、企業は独自のセキュリティ要件を設定でき、全てのサインインでその要件を確認できる。弱くてありふれたパスワードやパスワードの再利用、漏えい済みのパスワードをはねつけることが可能だ。

ゼロトラストの最小特権の原則をどう反映させるか

　パスワードとパスキーについて、もう一つだけ考えなければならないことが残っている。最小特権の原則だ。職務を遂行するために必要な最小限のアクセス権を従業員に与えるという原則だ。最小特権の原則を守れば、ある従業員がアクセスできる資産を抑えることができ、全従業員がアクセス可能な資産の総数を最小限に抑えことができる。つまり、全社のリスクと攻撃対象領域（アタックサーフェス）を狭められる。

　パスワードとパスキーを併用するなら、パスワードマネジャーを使って最小特権の原則を守らせることが可能だ。従業員がどのように資源にアクセスし、使用し、共有するのかを制御できるからだ。セキュリティポリシーに沿った方法でアクセスを許可できるため、IP制限を設けたり、特定の多要素認証を義務付けたり、シングルサインオンのプロバイダーやポリシーと統合したりもできる。

　「最後に残る問題は管理者が把握していないアプリケーションやシャドーITだ」（ブーン氏）。この問題についてはさらに深い取り組みが必要になるだろう