パスワードの長く暗い夜、新時代の夜明けが始まる
2022年5月5日、Apple、Google、MicrosoftはFIDOアライアンス(※1)とWorld Wide Web Consortium(W3C)が作成した、
パスワードを使わないFIDO2認証によるサインインのサポートを拡大する計画を発表しました。この発表を皮切りに、
国内外の有力ベンダーは着々とパスワードレス認証のプラットフォームを作成する準備を進めています。
ISRのお客様の間でもパスワードレスの問合せが増加
私達ISRが提供するアイデンティティ管理プラットフォームCloudGate UNOは、アクセス時の本人確認として3つの「認証方式」が用意されています。
①パスワード認証:パスワードのみで認証
②パスワードレス認証:生体認証などを利用したFIDO2によるパスワードレス認証
③多要素認証:CloudGate UNOで利用できる認証器とパスワード認証を組み合わせた認証
これまではパスワード認証を選択されるお客様が一般的でしたが、前述のようなITベンダーがパスワードレス認証へ移行する流れもあり、CloudGateサポートチームでパスワードレス認証についてのお問い合わせをいただく機会も増えていますので、その一部をご紹介します。
Macbook の Touch ID を使って CloudGate UNO にサインオン出来ますか?
はい、Touch ID は FIDO2 認証に対応していますので可能です。
安全な仕組みを持つFIDO2によるパスワードレス認証
パスワードレス認証と言っても、様々な方式があり、すべてが安全というわけではありません。生体情報をオンライン上で直接やり取りする方法は、生体情報自体を窃取される可能性があり、パスワードを盗まれるより厄介です。またショートメッセージサービス(SMS)に依存するパスワードレス認証は、中間者攻撃(※2)に対してとても脆弱です。
一方、FIDOアライアンスが制定した技術仕様、FIDO2によるパスワードレス認証(以下、FIDO2認証)は、公開鍵暗号方式を用いたユーザー認証の仕組みです。
ユーザーがサーバーと認証資格情を共有しないので、フィッシングやハッキングによる情報漏洩リスクが低減します。
CloudGate UNOは、FIDO2に準拠した外付型の認証器(セキュリティキー等)や、プラットフォーム認証器(Touch IDやWindows Hello等)を利用して、パスワードレス認証に対応していないクラウドサービスや社内システムでも(※3)パスワードレス認証でサインオンすることが可能です。
多要素認証として使える Pocket CloudGate アプリについて教えて下さい。
「Pocket CloudGate」は認証とセキュリティ通知機能を搭載したCloudGate UNO専用アプリケーションです。 パスワードを入力する代わりに、スマートフォンに届いた通知をスマートフォンに搭載されている生体認証機能で承認することでCloudGate UNOにパスワードレスでサインオンできます。
Pocket CloudGateついてもっと詳しく知る
SMS/OTPによる多要素認証の安全性
そもそも、認証を行う要素には「知識情報」、「所持情報」、「生体情報」があります。そして認証は異なる要素を組み合わせるほどセキュリティの強度が上がると言われています。
SMS(ショートメッセージサービス)、OTP(ワンタイムパスワード)は自分のスマートフォンに認証情報が表示されるため「所持情報」と「知識情報」を使った認証のように見えますが、スマートフォンに表示された数字をログイン画面に入力する時点で「所持情報」から「知識情報」へと変わるため、中間者攻撃をされた際は容易に不正アクセスを許してしまうことになります。
Pocket CloudGateの場合、スマートフォンに搭載された生体認証機能を用いたプッシュ通知認証を行います。認証要素は「所持情報」と「生体情報」を使うことになるため、 SMS/OTPよりもセキュリティレベルの高い安全な認証を実現します。
パスキーでサインオンするように設定すれば Pocket CloudGate アプリはインストール不要ですか?
パスキーだけのご利用でも大きな問題はございませんが、FIDO2 認証に対応していないブラウザやアプリからサインオンする必要があるときには Pocket CloudGate アプリの CloudGate Authenticator を利用するといったように、状況に応じた使い分けのためにどちらも登録しておくことをお勧めします。
また、Pocket CloudGate アプリには利用者自身で不審なサインオンを検知できるセキュリティ通知機能も備わっておりますので是非ご活用いただきたいです。
パスワードに代わる「パスキー」とは?
FIDO2認証は、認証に使う認証資格情報をユーザーのデバイスに厳重に保管するため、端末の買い替えや紛失などが発生した場合、新しい端末に引き継ぐことはできませんでした。そのため、非常に安全性が高い反面、利便性の問題により普及がなかなか進まないという側面がありました。
これを解消するため、FIDOアライアンスは2022年3月に「パスキー」を 発表しました。パスキーは端末間で移行・同期可能なFIDO2認証で利用する認証資格情報を指します。そして、このパスキーはApple IDなどのクラウドアカウントに紐づき端末間で同期されます。近年、パスキーが大手ITベンダーに採用されることで、多くのユーザーが日常的にFIDO2認証を使う環境が整いつつあります。
社内からは生体認証のみ、社外からはパスワード認証+生体認証で設定出来ますか?
はい、セキュリティプロファイルのルールごとに認証方式を指定出来ますので、社内/社外等のアクセス元の条件ごとにパスワード認証・多要素認証・パスワードレス認証を設定可能です。
働き方の変化によって、企業ではオフィスで働く社員、リモートワークをする 社員が混在し、一定のセキュリティレベルを確保することが難しくなっています。
そのような場合、それぞれの社員に応じて認証のルールを変化させることが 必要です。
また、社内ネットワークへアクセスできるIPアドレスや端末を制限する アクセス制限を組み合わせることで強固なセキュリティを可能にします。
MFAが必須になった Salesforce には生体情報によるパスワードレス認証にして、 他サービスへは従来通りの認証に出来ますか?
はい、前述と同じくセキュリティプロファイルのルールごとに認証方式を指定出来ますので、アクセス先サービスプロバイダーごとにパスワード認証・多要素認証・パスワードレス認証を設定可能です。
近年、企業が利用するクラウドサービスの種類は増加しています。
企業にとって特に重要な顧客情報や機密情報を取り扱うサービスは、
他のサービスよりもセキュリティレベルを上げたいと考えるシステム管理者様も多くいらっしゃいます。
このような場合は、サービスプロバイダーごとに認証方法を設定し、企業の情報資産を守るセキュリティを設定することができます。
パスワードレスの新時代へ
パスワード認証は1960年代にできた技術です。当時は1台の大型コンピューターを複数の限られた開発者だけが使うことが想定されていたため、 今ほど厳重なパスワード管理を求められていませんでした。
コンピュータやインターネットなど情報技術の発展に合わせて、古い認証の技術も進化させる必要がありますが、パスワード認証に代わる技術が 登場しませんでした。そのため、しばらくの間は悪意のある攻撃者によって標的とされ、ユーザーにとっては暗く長い夜を経験してきました。 しかし、パスキーの登場によりパスワードレス認証は近い将来、パスワード認証に完全に取って代わることが期待できるようになりました。
企業にとって、これまで慣れ親しんだ認証方式を変えるのはシステム管理者側も、ユーザー側もハードルが高いことかと思います。 完全なパスワードレスの時代へはまだ少し時間がかかりそうですが、新しい時代の認証へ移行する準備は確実に進んでいます。
※2 中間者攻撃:ユーザーとWebアプリケーションなどのサービスの間に入り込み、盗聴やなりすましによって、個人情報の窃取、未承認の資金移動、不正なパスワード変更などを行う攻撃
※3 シングルサインオンするサービスがSAML2.0やForm-based認証に対応している必要があります。
