クラウドサービスをはじめとするWebサービスなどでパスワードを利用する機会は多いでしょう。しかし、昨今パスワードを利用しない「パスワードレス認証」に注目が集まっています。パスワードレス認証は従来のパスワード認証よりもセキュリティが強化できるとして、多くのサービスで導入が進められています。
今回は、従来のパスワード認証の問題点と併せて、パスワードレス認証の概要から仕組み、メリット・デメリットなどについて見ていきましょう。
この記事の目次
パスワードレス認証とは
パスワードレス認証とは、本人を確認する認証においてパスワードを使わずにIDを検証する方法です。パスワードを利用する場合は、サービスごとに定められたパスワードを覚えておかなければなりませんが、パスワードレス認証では覚えておく必要がありません。パスワードの代わりにさまざまな方式で本人確認を行なうことで、セキュリティが強化できるとして注目を集めています。
【2022年5月最新】Apple/Google/Microsoftがパスワードレス認証のサポート拡大
パスワードレス認証は大手企業も積極的に導入を進めています。米国時間の5月5日には、Apple/Google/MicrosoftのIT大手3社がパスワードレス認証のサポートを拡大することを発表しました。
3社が持つプラットフォームでは以前からパスワードレス認証をサポートしていましたが、各デバイスにおいて事前にWebサイトやアプリにサインインする必要があり、使い勝手に難がありました。しかし、今回のサポート拡大によって、OSやブラウザに依存せずモバイルデバイスを使って近くのデバイスのWebサイトやアプリへのサインインが実現します。
さらに、代替のサインイン手段やアカウント回復の方法としても利用できるようになるとしており、2023年には利用可能となる見込みです。
パスワード認証の問題点
パスワードレス認証の普及が進む背景には、パスワードが抱える多くの問題点の存在が挙げられます。
認証において重要とされる3要素として、「知識情報」「所有情報」「生体情報」が挙げられますが、パスワードは知識情報に該当する要素です。この3要素のなかで、知識要素は知られてしまうと本人以外でも認証が通過できてしまいます。
また、近年ではクラウドサービスの普及によって一人ひとりが利用するWebサービスの数が増え、管理すべきパスワードの数も膨大になってきました。その際に問題となることは、パスワード忘れや安易なパスワードの設定、パスワードの使いまわしです。
管理すべきパスワードの数が膨大になるため覚えきれず、忘れないようにするために安易なパスワードを設定したり、使いまわしたりするケースが多く見られます。そうすると、不正アクセスの危険性が増し、安全にサービスを利用できなくなってしまうのです。
さらに、パスワードはサービスを提供するサーバー側でも保有しておかなければならず、サイバー攻撃を受けて情報が漏えいしてしまうと多くのユーザーに影響を与えてしまいます。パスワードを利用することはユーザーだけでなく、サービス提供者側にもリスクがあるのです。
これらはパスワードを利用する上では避けて通れないものであり、パスワードレス認証を導入することで避けられます。また、従来のパスワードと併せて、所有・生体情報を組み合わせる「多要素認証」もセキュリティを高める手段として注目されています。
パスワード認証と指紋認証などを組み合わせることで、パスワードが抱える問題点を解決することも可能です。
パスワードレス認証の種類と仕組み
パスワードレス認証はパスワードを使わない認証の総称であり、実現するための種類はさまざまです。そのなかから代表的な種類とその仕組みについて簡単に紹介します。
生体認証
生体認証は指紋・静脈・顔・虹彩などの個人しか持ち得ない生体情報を認証に用いる認証方式です。パスワードと違って生体情報は他者がコピーしたり真似たりすることは難しいため、セキュリティ強度が高い認証方式として、特にセキュリティに配慮すべきサービス・場所で用いられています。
デバイス認証(所有要素)
本人しか持ち得ないモノを認証に利用する方式もあります。わかりやすい例としてデバイス認証が挙げられ、ログインの際にスマートフォンなどのデバイスに通知して本人確認をする方式です。認証アプリで生成されるコードや、SMSで受信するOTP(One Time Password)などを用います。
また、例えばUSBメモリ型のデバイスに認証のための情報を保存し、接続することで認証を行うハードウェアトークンも所有要素によるパスワードレス認証の一種です。
マジックリング
マジックリングはユーザーがメールアドレスを入力し、入力したアドレス宛に届くメールに記載されているリンクをクリックすることでアクセス権を付与する方式です。ユーザーはパスワードを入力することなく、メールに記載されたリンクをクリックするだけでログインできます。
FIDO認証
FIDO(Fast Identity Online)(ファイド)はパスワードレスを実現する認証技術の開発と標準化を進める国際規格です。FIDO認証では公開鍵暗号方式を利用し、パスワードレスを実現しています。パスワードレス認証の標準規格として多くの企業が導入を進めています。
詳しくは下記をご覧ください。
パスワードレス認証は安全?不正アクセスは不可能?
パスワードレス認証は従来のパスワード認証に比べて安全性が高い認証方式です。認証において警戒すべきセキュリティリスクは不正アクセスですが、パスワードレス認証は不正アクセスに対して高い耐性を持ちます。
パスワード認証の場合、パスワードが知られてしまうと不正アクセスのリスクが発生しますが、パスワードレス認証では前述の通り生体情報や所有情報を利用するため、他者が簡単に情報を入手することが難しいためです。
しかし、完全に不正アクセスを防げるというわけではありません。例えば、スマートフォンを利用するデバイス認証によるパスワードレス認証を用いている場合、スマートフォンの紛失・盗難によって不正アクセスのリスクが発生します。
また、あくまでも不正アクセスに対しては高い耐性を発揮しますが、マルウェア感染などのセキュリティリスクに対する対策ではないことに注意が必要です。
パスワードレス認証を利用するメリット・デメリット
パスワードレス認証を利用する際には、メリットだけでなくデメリットも併せて覚えておいたほうがよいでしょう。
パスワードレス認証を利用するメリット
パスワードレス認証は「セキュリティの強化」と「利便性の向上」をもたらします。
不正アクセスに対して高い耐性を持ち、パスワードが抱える多くの問題点を解決できることからセキュリティ強化のための対策としても有効です。また、ユーザーはパスワードを覚える必要がなくなり、さまざまなサービスにシームレスにアクセスできるようになります。
多くのサービスを利用する昨今ではログインする回数も増えているため、パスワードレス認証による利便性の向上は大きなメリットといえるでしょう。
パスワードレス認証を利用するデメリット
パスワードレス認証を実現するためには、専用の機器が必要になる場合があります。特に生体認証によるパスワードレス認証の場合には、指紋や顔などを読み取るセンサーが必要です。そのための環境の変更や機器導入におけるコストの発生などはデメリットとして挙げられるでしょう。
また、ユーザー側は認証においてわずらわしさを感じる可能性が考えられます。例えば、ログインのたびにメールを確認しなければならない、認証アプリを使ってコードを確認しなければならない、体調によって生体認証が通りづらい、などが考えられるでしょう。
多要素認証によって従来のパスワードと併せて利用されるケースも多いため、パスワードレス認証のメリットであるセキュリティの強化と利便性の向上の両メリットを最大限に活かせるような環境づくりが必要です。
よくある質問
最後に、パスワードレス認証に関するよくある質問を簡単にまとめて紹介します。
パスワードレス認証が必要とされるのはなぜ?
多様化・複雑化するサイバー攻撃に対する耐性を高めるためです。従来のパスワード認証では不正アクセスのリスクが高く、対策としてパスワードレス認証が用いられています。不正アクセスはさまざまなサイバー攻撃の足がかりともなるため、セキュリティ対策の一環として重要視されています。
パスワードレス認証を利用するためには?
パスワードレス認証はサービスによって対応している種類が異なります。スマートフォンなどのデバイス、認証アプリ、メールアドレスなどを事前に準備する必要があります。パスワードレス認証を自社サービスなどに導入したい場合には対応するソリューションも多く存在するため、導入を検討するとよいでしょう。
まとめ
パスワードレス認証はパスワードを使わない認証の総称です。パスワードが抱える多くの問題点を解決するための手段として、多くのサービスなどで導入が進められています。近年、多様化・複雑化するサイバー攻撃への対策手段としても有効であり、今後パスワードレス認証は認証の標準になるでしょう。
セキュリティの向上だけでなくユーザーの利便性向上も期待できるため、パスワードレス認証の導入を検討してみてはいかがでしょうか。