パスワードを使わないユーザー認証が、ようやく現実的な手段として考えられるようになってきた。Gartnerは2022年までに、グローバル大企業の60%と中堅企業の90%が、ユースケース全体の50%以上で、パスワードレス認証を実装するようになると予想している。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
パスワードには弱点があるものの、依然として広く使われている。推測しやすく使い回されているレガシーパスワードは、さまざまな攻撃に対して脆弱(ぜいじゃく)であり、それ自体も機密性の高いシステムや情報を適切に保護しない。
パスワードからの脱却を目指す取り組みが以前から行われてきたが、いよいよ市場でこうした機運が本格化しつつある。
「この1年、顧客から寄せられた問い合わせの中で、具体的に『パスワードレス』に言及したものが微増しており、パスワードレスのアプローチに関する他の問い合わせも増えている」と、Gartnerのバイスプレジデントでアナリストのアント・アラン氏は語る。
「Gartnerは2022年までに、グローバル大企業の60%と中堅企業の90%が、ユースケース全体の50%以上で、パスワードレス認証を実装するようになると予想している。この割合は2018年には5%だった」
パスワードレス認証はその性質上、パスワードの使用に伴うセキュリティとユーザーエクスペリエンス(UX)の問題を取り除く。また、さまざまな付加的メリットをユーザーと企業に提供する。
パスワードレス認証を使えば、ユーザーは、パスワードを覚えておく必要も入力する必要もない。そうなればUX、そして顧客エクスペリエンスの向上と合理化につながる。さらに、パスワードレス認証では、企業はパスワードの集中的な保存と管理を行う必要がなくなる。これによってセキュリティの向上、侵害の減少、サポートコストの削減というメリットが得られる。
セキュリティやアイデンティティー/アクセス管理(IAM)の担当リーダーがパスワードレスアプローチを実装する主な方法は2つある。
パスワードを置き換える一般的な方法の1つは、指紋や顔などによる生体認証を採用することだ。生体認証は現在、モバイルバンキングアプリケーションで広く使われており、他の顧客向けおよびエンタープライズアプリケーションにも導入されつつある。
生体認証以外のパスワードレス認証には、知識によるパスワードレス認証(パターンベースのワンタイムパスワード認証など)、電話をトークンとして使い、単一認証要素を生成させる認証、ユーザーの持つ機器に閉じたローカルな方法でパスワードレス認証を実現するFIDO UAF(Fast Identity Online Universal Authentication Framework)、さまざまな兆候の分析による本人らしさの判別(受動的な行動生体認証などが利用される可能性がある)などがある。
最も広く使われている強力な認証は、既存のパスワードと何らかのトークンを組み合わせる2要素認証(2FA:two-factor authentication)だ。最近では、デフォルトで2要素を使用し、パスワードレスとなる認証――つまり、シングルステップの2FAが利用可能になっている。
例えば、モバイルプッシュ技術と、ローカルPINあるいはデバイスネイティブな生体認証モード(Apple製品で使われている「Touch ID」など)を組み合わせれば、中程度のリスクのユースケースでは、十分な信頼性を持つ認証が可能になる。
デバイスネイティブではない生体認証モードは、シングルステップの2FAプロセスでより強力な効果を発揮する。携帯電話の電源を入れるときのパスコードから独立しているからだ。
企業はこの生体認証モードにより、ユーザーによる生体認証の利用をより厳密に把握、管理でき、一般的に画像や録画を使って、潜在的な攻撃に対する優れた保護を提供できる。こうしたメリットは、スマートフォンからのアクセスの認証にモバイルプッシュ技術が使用される場合に威力を発揮する。
出典:Embrace a Passwordless Approach to Improve Security(Smarter with Gartner)
Manager, Public Relations
Copyright © ITmedia, Inc. All Rights Reserved.