日本企業で「パスワードレス」の採用が広まらない業界裏事情――支援策はあるのか：既存システムとの整合性が必要

IDやパスワードの流出が原因となったサイバー攻撃の事例は国内でも数多い。そのためIDやパスワードを使わない認証が強く求められており、スマートフォンなどでは広く普及している。だが、企業への導入があまり進んでいないようだ。なぜだろうか。

[PR／＠IT]

PR

多くの企業がIDとパスワードの流出を経験する時代、根本的な解決策とは

　IDとパスワードに頼ったセキュリティが限界を迎えつつある。これらが流出した結果、サイバー攻撃を受けたり、推測しやすかったために不正アクセスされたりする事態が頻発している。

　例えば、総務省の「令和2年版 情報通信白書」では、トレンドマイクロの調査結果を引用しながら「組織の57.6％が何らかのセキュリティ事案を経験し、36.3％が個人情報の漏えいをはじめとする重大な被害を受けている」と指摘している。これら事案を引き起こす原因の一部はIDとパスワードの流出だったと推測できる。

　実際に同白書では、IDとパスワードの流出が原因となったと思われる事例を幾つか紹介している。「攻撃者がどこかで不正に入手したIDやパスワードを利用したリスト型攻撃により引き起こされたスマートフォン決済サービスの事例」や「ワンタイムパスワードや乱数表といった認証情報を詐取する手口で二要素認証の突破を狙うフィッシング詐欺の事例」「パスワード設定等に不備がありサイバー攻撃に悪用されるおそれのあるIoT機器の調査事例」などだ。

　「報道されないケースを含めれば、ほとんどの企業がIDとパスワードの流出を経験しているはずです。実際『パスワードに起因した攻撃を実際に受けているが、どのような対策をとればよいか分からない』という相談をよく受けるようになりました」と指摘するのが、WiSECURE Technologies（以下、WiSECURE）日本エリア総合担当の眞塚 一氏だ。

　「多くの企業では、推測されにくいパスワードの利用やパスワードの使い回しの禁止といった対策をとっています。しかし、全てのユーザーに徹底することが難しいといいます。ゼロトラストなどの新しいセキュリティのアプローチを検討する中で、パスワード自体をなくす『パスワードレス』にたどり着くお客さまも増えています」（眞塚氏）

　パスワードレスというのは、パスワードを利用しない認証方法だ。生体認証やデバイス認証などを組み合わせて実現するもので、代表的なものとして標準化団体FIDO Alliance（ファイドアライアンス）が策定する「FIDO2」がある。

　「FIDO AllianceにはMicrosoftやGoogleが参加しており、サービスへの実装も始まっています。パスワード自体を利用しないため、流出リスク自体をなくすことができます」（眞塚氏）

　IDとパスワードだけではセキュリティが保てなくなる中、企業担当者の間でも、根本的な解決策の一つとしてパスワードレスへの関心が高まっているというわけだ。

日本企業でパスワードレスの採用が広がらない「裏事情」とは

　PCやスマートフォンへのログインでも、パスワードレスがよく利用されるようになっている。個人利用でも指紋認証や顔認証を使ってIDやパスワードを使わず、端末やクラウドサービスにログインできるようにしている人がいるはずだ。

　ただ、企業での利用については、理解や関心が高まっても実装が進んでいないのが実情だという。眞塚氏は、その理由の一つとして「既存環境を維持管理する必要性」を挙げる。

　「企業のセキュリティ対策には社内で長い歴史があり、さまざまなシステムやサービスが多層的に構築されています。パスワードレスの効果が高いといっても、全てのシステムを一度にパスワードレスに変えることは現実的ではありません。既存のIDやパスワード管理の仕組みと新しいパスワードレスの仕組みを長く併存させる必要があります。そうした取り組みは企業にとって負担になりやすいのです」（眞塚氏）

　また「さまざまな企業システムで利用できるソリューションが存在しない」ことも課題となっている。

　「『Microsoft 365』や『Google Workspace』など特定のサービスだけを利用するなら、それほど大きな手間をかけずにパスワードレス環境を実現できます。『Windows Hello』を使ったPCへのログオンや、生体認証やUSBキーを使ったGoogleサービスへのログイン認証が利用できるためです。しかし、多くの企業はそれら以外にもさまざまな業務アプリケーションを併用しています。ログインがSSL化されておらず、基本認証だけで保護しているようなオンプレミスのシステムもあります。それらをパスワードレスにしていくためには、生体認証やUSBキーだけでなく、認証サーバを構築する必要があります。ただ、FIDOに対応した認証サーバソリューションはこれまで国内で提供されておらず、実装しようにも専門人材の不足などから難しいのです」（眞塚氏）

　さらに「パスワードレスに対する取り組み意欲」の問題もある。

　「テレワークやクラウドの普及で、従来型のセキュリティの在り方に問題があり、新しいアプローチが必要であるという理解は広まっています。ただ、パスワードレスがこれからのセキュリティについて有効策の一つになるという理解は広まっていないように感じます。ゼロトラストへの取り組みを強化している企業でも、パスワードレスには消極的というケースが多い」（眞塚氏）

　しかし、パスワードレスはゼロトラスト実現にも役立つ。「パスワードレスはパスワード情報を知っている人でも信用しないという点で、ゼロトラストを実現する手段の一つになり得ます」（眞塚氏）

「導入したくてもできない」状態を解消する「FIDO導入支援パッケージ」

　日本企業が抱えるこうした事情を踏まえ、パスワードレス環境の実現に向けた課題を一つ一つ解決していこうと支援しているのがWiSECUREだ。WiSECUREはハードウェアセキュリティモジュール（HSM）開発ベンダーとして成長し、現在はFIDOに対応したさまざまなセキュリティソリューションを展開している台湾企業だ。

　WiSECUREの製品を採用した企業には、グローバルな半導体メーカーや政府機関、社会インフラ企業など機密情報やミッションクリティカルな情報を取り扱う企業が目立つ。WiSECUREの製品ラインアップは、暗号化チップやセキュリティキーといったデバイスから、ファイル暗号化サーバや認証サーバなどのミドルウェア、スマートフォン用アプリケーションなどまでをカバーする。

　「欧米に比べて日本市場では、パスワードレスの取り組みで遅れているのが実情です。その背景には、ユーザー企業が抱える既存システム環境の複雑さ、SIerやパートナー企業によるソリューション展開の難しさ、FIDOの仕組みに対する認識の不足があると考えています。具体的な課題は導入のコストや手間、製品やサービスの不足、ライセンス形態を含めた柔軟なサービス提供などです」（眞塚氏）

　それらを解決するためにWiSECUREが提供しているのが「FIDO導入支援パッケージ」だ。

FIDO導入支援パッケージの内容（提供：WiSECURE Technologies）

　FIDO導入支援パッケージを構成するのは、PCやスマートフォンなどのクライアント側でパスワードレス認証をするための「FIDOデバイス（FIDO認証器）」、FIDOに準拠したパスワードレス認証をするための「FIDOサーバ」、さまざまな環境でテストするための「FIDO認証テストアプリケーション」、各種管理ツールや開発用SDKとなる「トークン管理用ユーティリティー」、開発、導入ガイダンスやサンプルソースコードを含めてパスワードレス環境を利用するための「トレーニング」などだ。

　「特に重要なのがFIDOサーバの提供です。日本市場にはこれまで企業が業務で利用できるFIDOサーバが提供されていませんでした。パスワードレス認証を実現するデバイスはあっても、認証サーバがないため、導入したくても簡単に導入できない状態だったのです。今回、FIDOデバイスからサーバ、開発キットやサンプルコード、トレーニングまでを含めてパッケージとして提供することで、さまざまな環境でのパスワードレスを構築していくことが容易になりました」（眞塚氏）

ユーザーの段階的な導入を支援、パートナーやSIer向けに柔軟なライセンスを提供

　FIDO導入支援パッケージは、必要な機能やサービスをワンストップで提供するだけでなく、複雑化した既存システム環境への導入を容易にする工夫や、ユーザー企業を支援するSIerやパートナーに役立つ仕組みを提供していることも大きな特徴だ。

　まず、企業固有の課題に対応するため、価格やライセンスを柔軟に設定できるようにしている。

　「FIDOサーバには複数の提供方式があります。WiSECUREが提供するFIDO2デバイスやセキュリティチップのみが利用できるものと、他社製品を含む全てのFIDO認証器が利用可能なものです。基本的にドメイン単位でライセンスを発行しますが、WiSECUREのFIDO認証器のみが利用可能な提供方式の場合、一度購入すると同一企業内のFIDOサーバに対しての追加ライセンスは少額で対応する仕組みを検討中です。費用感としてメジャーなDBサーバの通常版程度の価格帯で提供予定です。なお、他社のFIDOデバイスが利用可能なサーバについては当社のデバイスが売れなくなりますので少々お高めでのご提供になります」（眞塚氏）

　SIerやパートナー企業向けには製品納品用のライセンスと、より低額の開発用ライセンスとを分けて提供を検討しているという。

　「まずは日本でFIDO市場を育てないと話になりませんので、ソフトウェア開発者に向けたコストを抑えたライセンスを提供できるように考えています。客先に大量にシステムを納品する場合は、年間ボリュームライセンスとして提供することも予定しています。他の認証デバイスメーカーやNASなどのストレージメーカーへFIDO技術をOEM／ODM提供することも可能です。現在、2022年初頭の正式リリースに合わせて日本市場に向けたライセンスメニューを最終調整中です」（眞塚氏）

　FIDOデバイスについてもニーズに応じてさまざまな形態での提供が可能だ。WiSECUREが開発、提供するデバイスとして、USBキー「AuthTron Security Key」、デバイス自体に暗号化機能を備えたUSBキー「CryptoAir+」、組み込み機器にも対応したMicroSD型のHSM「Velocrypt」がある。この他、FIDO2機能が搭載されたセキュリティチップを利用したODM提供モデルがある。

　「スマートフォンで利用できる専用モバイルアプリケーション『AuthTron M』も開発中です。AuthTron Mは、別のセキュリティ対策パッケージ『DPX』に組み込むために開発されたものですが、お客さまの声を反映して導入支援パッケージのFIDOサーバにも組み込めるように変更しました」（眞塚氏）

　FIDO導入支援パッケージは、FIDOに対応した他社のデバイスの利用も追加料金を支払うことで可能だ。さらにWiSECUREが元来得意とするHSMを利用した暗号サーバと組み合わせることで、システム内のファイルやデータに対して強力な軍事レベルの暗号化を施すソリューションもオプションメニューで用意されている。

　「FIDO導入支援パッケージを利用することで、効率良く段階的にパスワードレス環境を構築できます。パスワードレスに対してはさまざまな制約から『あと10年かかる』といわれることもあります。われわれはそうした現状を打破する一石になりたい。ユーザー、パートナー、SIerと一緒になって業界全体を盛り上げていきたい。既に世界的なメーカー複数社とパートナー契約が進んでおり2022年以降は当社のFIDO技術を採用した製品が続々と登場する見込です。オンプレミスからクラウドへの移行の波がある日突然来たように、パスワードレスの風は突然吹きます。たくさんの日本企業の方にもわれわれが提供するこのビジネスチャンスの波に乗ってほしいと考えています」（眞塚氏）