キヤノンMJ/サイバーセキュリティ情報局

企業が脱パスワードに向けて検討するべき点

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「企業はパスワードレス認証に適応できるのか?」を再編集したものです。

 「123456」といったセキュリティの低いパスワードはもう使われなくなるのだろうか。マイクロソフト社がパスワードレスを推し進めていることを踏まえ、脱パスワードに向けて企業が検討するべきことを解説する。

 「パスワードレス」は一見、疑わしく感じてしまうものだが、実際はユーザーとセキュリティ部門の双方にとって有益なものとなり得る。管理コストを削減し、生産性を高め、さらにはサイバー攻撃のリスクを軽減する可能性があるからだ。一方、その素晴らしいメリットにもかかわらず、B2C企業でもB2B企業でも、期待されたほど導入が進んでこなかった。

 しかし、世界的なソフトウェア企業がこの手法を推進するようになった今、パスワードレス社会が急速に現実味を帯びてきた。事実、マイクロソフト社はパスワードを「不便で、安全ではなく、しかも高価なもの」と断じている。そして、法人ユーザーに対するパスワードレス認証の導入を2021年3月に行なうこととした。さらに、同年9月にはすべてのユーザーに適用を拡大すると発表している。パスワードレス認証の時代がようやく訪れたのだ。

もはや目的を果たさなくなったパスワード

 パスワードはコンピューターの歴史と同じくらいに昔から存在した。そして、パスワードはいずれ廃れると何度も予測されてきている。しかし、現在も使われ続けているのが現実であり、企業向けアプリケーションからオンラインバンキング、電子メールやECのアカウントまで、あらゆるサービスで利用されている。

 問題なのは、あまりに多くのログイン情報を管理・記憶しなければならないことだ。ある試算によると、米国の従業員の57%がパスワードを付箋に書き写したことがあるという。業務で必要なデジタルサービスが増えるにつれ、この割合は高まっている。2020年10月の調査では、平均して一人あたり100個のパスワードを保有しており、パンデミック以降、それは25%近く増加したと推定されている。

関連記事:
A recipe for failure: Predictably poor passwords(問題の原因は脆弱なパスワード)(英語のみ)
The worst passwords of 2020: Is it time to change yours?(2020年最悪のパスワードとは。そろそろパスワードを変える時期では?)(英語のみ)

 サイバーセキュリティの観点では、パスワードの問題はよく知られている。パスワードは攻撃者の標的となり、盗まれ、推測され、フィッシング詐欺あるいはブルートフォース攻撃で特定される、といったリスクがある。パスワードが攻撃者の手に渡ってしまうと、ユーザーになりすまし、容易にセキュリティが突破され、企業ネットワークの内部に侵入されてしまう。企業が情報漏えいを特定して終息するまでに要した時間は、287日に達しているという。

 パスワードマネージャーシングルサインオンの活用は、上記の問題を軽減してくれる。ユーザーの代わりに、それぞれのアカウントの複雑なパスワードを保存し、呼び出すことができるからだ。しかし、これらはまだ消費者の間でそれほど広まっていない。結果としてどうなったか?複数のアカウントで覚えやすいログイン情報を使い回してしまい、個人アカウントも法人アカウントもクレデンシャルスタッフィング攻撃(パスワードリスト攻撃の一種)やブルートフォース攻撃の脅威にさらされているのだ。

 問題はセキュリティリスクだけではない。IT部門はパスワードの管理に多くの時間や予算を費やしており、またユーザーのカスタマージャーニーを悪化させる場合もある。そして情報漏えいが発生すると、膨大な量のアカウントをリセットしなければならず、B2B、あるいはB2C環境のユーザー体験を大きく損なってしまう。

企業におけるパスワードレスの利点

 企業にとって、パスワードレス認証は大きな進歩となる。パスワードレス認証では、顔認証などの生体認証を使った認証アプリやセキュリティキー、あるいは電子メール・SMSを介したユニークなコードを用いる。これまでの静的なログイン情報に由来するセキュリティや管理上の問題を一気に解決できるのだ。

 B2BあるいはB2C環境において、この手法を導入すると、企業は以下のことが可能となる。

ユーザー体験の向上:ログインを円滑にし、ユーザーがパスワードを記憶しないで済むようになる。ログインのトラブルに起因して、買い物かごに入れた商品が決済されないケースが減れば、売上の向上にも貢献する。

セキュリティの改善:盗まれるパスワードが存在しなければ、企業は情報漏えいにおける重要な要素を排除できる。昨年起きた情報漏えいの84%は、パスワードに原因があるという報告もある。少なくとも、悪意のある攻撃者が標的とするものを得るのが難しくなる。さらに、年間で数十億回も行なわれているクレデンシャルスタッフィング攻撃は、過去のものとなるだろう。

金銭的な損害と評判の低下を防ぐランサムウェアや情報漏えいによる金銭的な損害のリスクを最小化する。また、パスワードのリセットや事件の調査に関するIT管理コストを削減する。ある調査では、パスワードのリセット1件あたりに150ポンド(2万2000円相当)のコストを要し、年間3万時間分の生産性が失われる可能性があると推定された。IT部門がより付加価値の高い仕事に費やすための時間が失われたのは言うまでもない。

パスワードレスの導入を妨げるものは何か?

 しかしながら、パスワードレスは万能薬ではない。以下に、導入の障壁となるものを記す。

セキュリティが100%保証されるものではない:例えば、SIMスワップ攻撃を用いると、攻撃者はSMSを介してワンタイムパスコード(OTPs)を受け取れてしまう。あるいは、スパイウェアなどによって端末や機器に侵入されると、ワンタイムパスコードが傍受される。

生体認証は万全ではない:ユーザーが容易に変更したり、リセットできない身体的な要素で認証する場合、システムに侵入されたときの危険性は、さらに増すだろう。音声や顔認識・画像認識の技術を破るための機械学習テクノロジーはすでに開発されている。

コストを要する:多くのユーザーや顧客を抱える中小企業がパスワードレス技術を導入しようとすると、多額のコストが必要となる可能性がある。場合によっては、端末やトークンを置き換えるコストも含まれる。マイクロソフト社のような定評あるサービス提供者を利用することは、社内での開発コストはかかるものの、より理にかなっている。

ユーザーの抵抗にあう可能性がある:セキュリティ面で多数の欠点があるにもかかわらず、パスワードが長らく生き続けているのには理由がある。ユーザーが直感的に使い方を理解できるからだ。法人向けであれば、ルールに従うしかないため、見知らぬ技術への不安を克服するのも比較的容易だろう。しかし、B2Cサービスの場合、見知らぬ技術や慣れない仕組みは顧客をさらに遠ざける可能性がある。したがって、ログインのプロセスをできるだけシームレスで直感的になるような取り組みが求められる。

 ポストコロナの時代が本格的に始まるにつれ、2つのトレンドがパスワードレスの導入に影響を与えるだろう。それは、消費者向けオンラインサービスの利用増加と、ハイブリッド型勤務の出現だ。いずれもモバイル機器が中心的な存在となるため、企業におけるパスワードレス戦略を今から検討・推進していくと良いだろう。

[引用・出典元]
Passwordless authentication: Is your company ready to move beyond passwords? by Phil Muncaster 8 Nov 2021 - 11:30 AM
https://www.welivesecurity.com/2021/11/08/passwordless-authentication-is-your-company-ready-move-passwords/