はじめに
前回のパスワードレスを考えようでは、「パスワードは簡単に盗まれてしまう」というパスワードの問題から漏洩に繋がる原因などを含め、企業経営が脅かされることもある危険性が高いものだということをご紹介しました。
しかしながら、実際に企業経営を考えた時、漏洩だけが脅威となるのでしょうか。
いいえ、違います。
パスワードを管理するという手間、コストも脅威になるのです。 その中でも管理者を悩ませているのが「パスワードリセット」です。もちろん管理者だけでなく実際の利用側のユーザーも悩んでいるでしょう。 今回はこのパスワードリセットの問題をどう解決するのかを考えてみましょう。
パスワードリセットにかかる時間とコストは?
「ユーザーがパスワードを何回も間違えて、ロックされてしまうため、解除するのに時間がとられてしまう...」
こういった声を企業のIT管理者からよく聞きます。
この原因として、ブラウザの設定でパスワードを毎回入力しなくてもいいため、入力を要求された時には結局ユーザー自身が覚えていないというパスワード忘れから発生することが多いようです。
ガートナーの調査によるとヘルプデスクにかかってくる依頼の20%から50%が、パスワードリセットの依頼だということであり、 問い合わせの約半数が、システムの利用方法や技術的な質問ではなく、単純なパスワードの忘れから発生するパスワードリセットだということは驚きです。
しかも単純なパスワードの忘れから発生したにも関わらず、対応しなければ「利用できない=仕事ができない」ため、すぐの対応が求められる厄介な業務なのではないでしょうか。
「外出先なんですが、アカウントロックされて。パスワードリセットしてもらえませんか?今すぐプレゼンしなきゃいけないんです」。
つまり、管理者が別の作業をしていても、
“いつその問い合わせが舞い込んでくるのかは予測ができない”
“必然的にその作業を優先しなければいけない”
“管理者自身でアカウントロックの原因がパスワードであることが確認できず、そのサービス提供会社へメール問い合わせでのやりとりに時間がかかる”
など、当初予定していた作業が一向に進められないという事態も招きかねません。
もちろんパスワードリセットを依頼したユーザーの時間も同じように奪われてしまいます。
また、フォレスター・リサーチからは、1回あたりのパスワードリセットにかかるヘルプデスクの平均人件費は7,000円($70)かかるという調査が発表され、大手企業であれば1年間にパスワードリセットにかかるコストが1億円($1M)だというのです。
もちろん企業規模や導入しているシステム、また担当者によって人件費やコストなどは変わりますが、パスワードリセットが企業経営を脅かす脅威になることは明らかなのが分かります。
パスワードリセットを減らすではなく、なくす?
脅威があるということが明らかになったパスワードリセットですが、その対策としてまず出てくるのが、「パスワードリセットを減らす」という施策ではないでしょうか。
パスワードポリシーを見直す、パスワードリセットツールを導入する、パスワードリセットの権限を部署ごとに付与するなど、減らすための対策は数多くあると思います。
しかし、このどれもが根本的なコストと時間の問題を解決できていないのです。
ポリシーの見直しには、どのような設定に変更するのかという調査や、実施後の定期的な確認が必要になり時間がかかりますし、ツール導入ではパスワードにかかるハッキングなどの脅威はなくならならい反面、費用はかかります。またリセット権限を多くの人に渡すということは、危険に晒されるリスク範囲を広げるという行為になってしまうのです。
つまり、パスワードリセットを減らすことではなく、なくす対策をしない限り、コストや時間といった問題の根本を解決することができず、またパスワードに起因するハッキングのリスクをなくすことができないのです。
そのため、「パスワード」自体をなくす対策が必要になるのです。
パスワードをなくすサービスとは?
皆さんの身近なサービスとして一般的に利用しているのが、指紋認証でよく知られるTouch IDなどがあると思います。
本当に便利ですよね。
パスワードを使わなくても、自身の指紋があればすぐにアクセスができるのですから。
しかし、企業での利用を考えた時、 「個人端末なのでセキュリティ上利用をさせたくない」 「ユーザー自身が個人所有のものを会社で利用したくない」 または「そもそもスマートフォンを持っていないから利用をさせられない」 などTouch IDでのパスワードなしでの認証導入には壁がでてきます。ましてや、企業が従業員一人一人に端末を配布するなどということは莫大なコストがかかってしまうため、すぐに導入することは到底難しいでしょう。
では、企業で利用しているサービスやシステムへのアクセスにおいて、パスワードに代わる認証はどのようなサービスを導入すれば良いのでしょうか。
まずは、一般利用と違う点を考えなければいけません。
扱っているシステムやサービスには、会社の大切な資産情報や社員情報のほか、顧客情報などがあります。もちろん個人では、クレジットカード情報の漏洩など直接的な金銭被害を被るため、損害が大きいと感じる人も多いと思いますが、会社の大切な情報を奪われてしまえばどうでしょうか。
情報資産が漏洩したために、ビジネスのノウハウが盗まれ売り上げが下がってしまう...
顧客情報が漏洩したために、お客様からの信頼がなくなり売り上げが下がってしまう...
最終的には経営が傾き、社員の給与は減額、最悪の場合はリストラや倒産など、間接的に生活を脅かされることになるのです。
つまり、企業で利用するサービスは利便性を損なわないのはもちろんのこと、セキュリティレベルを格段にあげたものを利用しなければいけないということが分かります。
このセキュリティも利便性も担保しているのが、FIDOのパスワードレス認証です。
FIDOの認証では、デバイス側で生体情報を使った本人確認を行い、サーバー側ではその本人確認の妥当性を確認します。
具体的には、あらかじめデバイスは公開鍵暗号方式で秘密鍵と公開鍵のペアを生成し、サーバー側に公開鍵を登録、そしてデバイス側に秘密鍵を厳重に保管します。(※1) ※1: FIDO認証においては公開鍵で署名したものはペアとなる秘密鍵でないと検証ができない性質を利用します。
そして、デバイスに格納した秘密鍵のロック解除を生体認証などで行い(本人確認)、 その結果(秘密鍵で署名したもの)がサーバーに送られ、サーバー側の公開鍵で署名を検証することで認証が行われます。
つまり、簡単に言い換えれば、セキュリティに優れているということです。
指紋などの生体情報はサーバー側に一切渡ることがないため攻撃を受けて生体情報が流出するといった恐れがなくなり、また、公開鍵は盗まれたとしてもセキュリティ上の脅威にはなり得ないのです。
この仕組みは、FIDOアライアンス によってオープン標準となったため、Touch IDのような企業独自の認証基盤且つ、オープン標準ではなかった生体認証ベースの技術のように他の企業製品での代用が難しいということもなくなり、様々な企業がこの仕様に対応したパスワードに代わる認証を提供できるようになったのです。
その中の一つが、CloudGate UNOでのパスワードレス認証です。
FIDO2に対応した認証デバイスで、まずは本人の確認を行い、FIDO2に対応したCloudGate UNOのサーバー側で認証デバイスの確認を行うことで、パスワードを使わない認証が可能となりセキュリティ面での向上が行えます。
また、CloudGate UNOは様々なクラウドサービスと連携しているため、一度のサインオンで複数のサービスへ繋げられるという利便性も兼ね備えています。
そして、他FIDO2に対応したサービスとの最大の違いがセキュアな運用をしているという点です。CloudGate UNOの運用を行うチームは YubiKeyを用いた二要素認証でのサーバーへのアクセスを行っています。そのため、2008年の提供開始からお客様へ安全なログインの提供を実現し、徹底的な監視と管理を行うことで高稼働率のサービスを提供しています。
最後に
企業経営が脅かされるパスワードの問題。様々な問題がありますが、今回はパスワードリセットでの時間とコストについて考えてみました。
管理者が一番悩まされている「パスワードリセット」。パスワードがなくなれば管理者の方の負担も軽減され、結果的に会社経営において手間やコストという脅威がなくなるのです。
様々なニュースが飛び交う昨今、手遅れになる前に解決するサービスを見つけ出し、導入へと進めることが必要なのです。
