2020年11月17日

パスワードレスを当たり前の時代へ
〜CloudGate UNOで推進するパスワードレス認証とは〜

様々なサイバー攻撃が発生するたびに、当たり前に利用されているパスワード認証は本当に安全性の高い認証方法なのか疑問がありました。

そのため法人向けクラウド認証サービスCloudGate UNOを提供するISRでは、さまざまなクラウドサービスを便利にご利用いただくため、認証強化としてログインにおいてセキュアなパスワードレス認証を推奨しています。

もちろん、認証強化だけでなく、様々なアクセス制限も組み合わせることによって、企業資産を守るセキュアなシングルサインオンの提供に取り組んでいます。

そして、2020年。
新型コロナウイルスによりリモートワーク拡大にて在宅勤務という働き方が定着し、クラウドサービスをフル活用する時代に突入し、さらなるセキュリティ強化が必要になるため、パスワードレス認証を当たり前の時代にしなければいけないと考えています。

このブログではパスワードレス認証を当たり前にする時代に向けて、CloudGate UNOを通じてどのような取り組みを行なってきたのか、パスワードレス認証で何を実現したいのかについてパスワード認証の問題を考察した上でご紹介します。

パスワード認証の課題は
「セキュリティへの不安」と「ユーザーの使いにくさ」にある

パスワード認証には2つの課題があります。

1つ目はセキュリティへの不安です。
情報漏洩の80%以上はパスワードが原因とされています。最近では、インターネットバンキングにおける不正送金被害にて、パスワード認証の問題が明るみになりました。SBI証券での不正アクセスは約1億円が流出し、他にもゆうちょ銀行のプリペイドカードで不正送金など金融機関を狙った攻撃が増えています。

警察庁の発表によると、2020年上半期のインターネットバンキングにかかる不正送金が前年同期に比べ被害件数は4.8倍、被害額は3倍の増加し5億1,200万円にのぼったとの発表がありました。また、その被害の多くはSMSや電子メールを用いてフィッシングサイトへ誘導する手口と考えられており、通常の本人確認に使われるパスワードはもちろんのこと、個人口座の被害における約50%は多要素認証となるワンタイムパスワードを利用したにも関わらず、破られてしまっていたとのことです。

2つ目の課題は、ユーザーの使いにくさです。
2020年のパスワードの利用実態調査ではパスワードを使いまわしているWebサービス利用者は85.7%とのことです。パスワードにはセキュリティの不安があるにも関わらず、異なるパスワードを設定すると忘れてしまう、考えるのが面倒などパスワード管理への意識は2017年に行われた調査結果の85.2%からほとんど変化がないとのことです。

Webサービスを利用する機会が増えたことに伴い様々な事件が起こっているにも関わらず、改善できないというのは、ユーザーの使いにくさが原因だということは明らかです。

そのため、ユーザー自身の意識を変えるのではなく、ユーザーが利用する環境を変える必要があります。つまり、Webサービスの提供側がパスワード認証ではない認証の仕組みをユーザーに提供する必要があるのです。前述の事件例のようにワンタイムパスワードでさえ取得される時代となったのですから、もちろんパスワードを使い回したり、覚えやすく予測されやすいパスワードを使っていれば、容易に情報を取得されてしまうことは明らかです。

パスワードレス認証へ
CloudGate UNOにおける認証強化の取り組み

認証での問題は、以前より深刻であり2015年での年金機構の個人情報流出や海外政府へのサイバー攻撃による漏洩事件など多発しています。

私たちISRは、法人向けクラウド認証サービスを提供する側としてパスワード問題を解決する取り組みは極めて重要であると考えてきました。また、スマートフォンの普及にて、それまで当たり前のアプリ購入などに利用していたパスワードではなく、Touch IDの指紋認証で決済が行える環境が整ったため、ユーザーは意識せずに楽で確実なその方法を選択するようになったのです。

そして、2008年からCloudGateにてクラウドサービスを安全に利用できるようシングルサインオンサービスとして提供を開始し、さらに安全で利便性の高いサービスとしてパスワード認証の課題を解決すべく、2015年からCloudGate UNOを通じパスワード認証を強化するiPhoneのTouch IDを利用した生体認証システムの提供を始めました。

2015年からCloudGate UNOを通じパスワード認証を強化するiPhoneのTouch IDを利用した生体認証システム

この提供とともに、私たちは2014年にパスワードに依存しない生体認証などを用いた安全なオンライン認証の標準化を目的として発足したFIDOアライアンスに加盟し、FIDOの規格に準拠した多要素認証サービスの提供を行います。そして、2019年にはパスワードレス認証が実現できるFIDO2(WebAuthn+CTAP)が発表され、Web技術の標準化を行う非営利団体W3CがWebAuthnを正式勧告したことに伴い、2019年5月よりCloudGate UNOはFIDO2に対応したパスワードレス認証の提供を開始しました。CloudGate UNO経由でアクセスする各クラウドサービスは、FIDO2に対応していなくてもパスワードレスでアクセスすることができます。

2015年からCloudGate UNOを通じパスワード認証を強化するiPhoneのTouch IDを利用した生体認証システム

FIDO2に対応したパスワードレス認証は、本人情報をデバイス内で確認した結果だけをサーバーに送ります。つまり生体情報がネットワークに流れることがなく、またサーバー側に保存されることがありません。現在主流となるパスワードの認証では、IDとパスワードを入力し、暗号化されているものの、ネットワークにパスワード情報が流れ、サーバー側でそのIDとパスワードがあっているのかを確認する仕組みになっています。
ここで、パスワード認証とFIDO2によるパスワードレス認証の大きな違いは、シェアードシークレット(秘密の共有しない)ということです。FIDO2認証では、MacBookのTouch IDやWindows HelloなどFIDO2に対応している認証器に事前に登録した生体情報を使い本人確認をし、確認をした結果だけをサーバーに送信するため、パスワードのように認証情報をサーバーに保持せず、またネットワーク上にも流れないため、認証情報のリスクが少なくなるのです。さらにはユーザーのパスワードリセットなどを含めてシステム管理者はパスワードを管理する必要もなくなりました。

そして、2020年。
ついにiOS14でFIDO2が対応され、現在までのWindows、Android、Macbook、そしてiOSでのTouch ID/Face IDにてパスワードレス認証が可能になり、2020年12月19日にはCloudGate UNOで対応し、21日からすべてのCloudGate UNOプランでパスワードレス認証の標準提供を開始します。

2015年からCloudGate UNOを通じパスワード認証を強化するiPhoneのTouch IDを利用した生体認証システム

いち早くCloudGate UNOがパスワードレスに対応できたのは、2015年から認証強化として時代の流れを読み、セキュリティの高い技術に対応してきたこと、また2008年よりCloudGateサービスを通じ法人のお客様のニーズに適した柔軟なアクセスコントロール機能にも取り組んできたからだと考えています。

パスワードレス認証で実現する
「Secure yet easy to use authentication(安全でありながら利便性の高い認証サービスを)」

私たちISRは法人向けクラウド認証サービスCloudGate UNOにおいてパスワードレス認証を提供することはミッションでもある「Secure yet easy to use authentication」を実現することだと考えています。
このミッションには2つの意味があります。
1つ目は安全なサービスでなければいけないということです。
法人向けサービスとして、お客様の企業資産を守る使命があると考えているため、日々起こるインシデントの確認やその対応を行い安定した稼働を続けるとともに、セキュリテイ強化として認証の強化への技術対応、お客様の働く環境や時代のニーズに柔軟に対応できるアクセス制限の提供に努めています。また、安全なサービスを提供するために、社員のセキュリティに対する意識は高く、全社的にパスワードレス認証を行なっています。

2つ目は利用者が使いやすいサービスを提供しなければいけないということです。
いくらセキュリティの高いサービスであっても、使いにくいサービスであれば意味がないということです。特に私たちは法人向けクラウドサービスへのシングルサインオンソリューションとして提供しているため、ビジネスを促進するサービスの使い勝手を、認証部分で損なっては意味がありません。利用する誰もが使いやすいサービスとしてパスワードを使わない認証や、利用する端末に適応した生体による多要素認証など様々な認証の提供を行なっています。

2015年からCloudGate UNOを通じパスワード認証を強化するiPhoneのTouch IDを利用した生体認証システム

そして、企業資産を守るIT管理者においては、各ユーザーごとのセキュリティ設定や利用クラウドサービスに即したセキュリティレベルの設定など管理者サイトをいかに使いやすいものにするかUIの改善なども行なっています。

お客様にクラウドサービスの利便性を損なわないサービスを提供することはもちろんですが、企業資産となるデータが危険にさらされることは決してあってはならないと考えています。そのため、これまでCloudGate UNOで取り組んできた認証強化としてパスワードレス認証の提供やUIの改善も続けていきます。
そして、Windows8.1のサポートが終了する2023年、パスワードレス認証拡大にてパスワードレスが当たり前の時代に当たり前に利用いただけるサービスとして提供できるよう取り組んでいきます。

2015年からCloudGate UNOを通じパスワード認証を強化するiPhoneのTouch IDを利用した生体認証システム

ページの先頭へ