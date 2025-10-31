Cisco Systemsの脅威インテリジェンス部門Cisco Talosは、企業が依然としてパスワード中心の認証に頼る傾向があり、それには危険が伴うと指摘する。2025年10月24日（米国時間）に公開したブログ記事で、企業がパスワードによる認証を使い続けている背景としてパスワードレスに関する誤解を取り上げ、それぞれに対する正しい理解を促した。

パスワード中心の認証は、攻撃者にとっては容易な侵入口になる。企業では多くの人がパスワードを使い回したり、覚えやすいように極端に単純なパスワードを設定したりする傾向がある。攻撃者にとってはパスワードを悪用しやすい状況が生まれ、1件の漏えいで複数のアカウントが乗っ取られる恐れがある。

このような背景からパスワードレス認証への移行が推奨されている。だが導入が広く進まない要因として、技術的な制約ではなく、誤った理解が影響しているとCisco Talosは指摘。パスワードレスに関する5つの神話（誤解）を取り上げた。

神話1：パスワードレス認証はMFAよりも安全ではない

1つ目の誤解は、「パスワードレス認証は、多要素認証（MFA）よりも安全性が低い」（Passwordless is less secure than multi-factor authentication）だ。

パスワードレスと言うと、重要な保護層を省略することだと考えがちだが、そうではない。実際にはパスワードレスはMFAの一種。デバイス、指紋や顔認証、PINコードなど本人だけが提供できる情報を組み合わせて本人確認を行う。

神話2：PINはただのパスワード

2つ目の誤解は、「PINはただのパスワードに過ぎない」（A PIN is just another password）だ。 PIN（Personal Identification Number）はパスワードに似ているが、その仕組みは異なる。PINはインターネット経由で送信されたり、会社のサーバに保存されたりはしない。そのデバイスでのみ有効な認証要素であり、攻撃者がPINを悪用するにはそのデバイスを所有している必要がある。 神話3：生体認証よりパスワードが安全 3つ目の誤解は、「パスワードの方が生体認証より安全」（Passwords are safer than biometrics）だ。 生体認証は初期に報告された欠陥や、写真や偽の指紋でロック解除されたといった事象があり、ネガティブに見られていることある。だがそうした例の多くは、時代遅れで安価なセンサーがだまされやすいことに起因している。「Face ID」「Windows Hello」などの比較的新しいツールは、なりすましを極めて困難にする技術を採用している。 パスワードレス認証では、指紋や顔認証などによってデバイス内に保存されている秘密鍵の利用を許可する。この秘密鍵が外部に送信されることはない。 神話4：生体情報は管理され、漏えいする可能性がある 4つ目の誤解は「生体情報は漏えいする可能性がある」（Biometrics are secrets that can be leaked）だ。 自分の指紋や顔のデータは盗まれるのではないかと懸念する人もいるが、パスワードレス認証の仕組みは、生体情報を一元的に管理する中央データベース型の監視システムのようなものとは異なる。生体認証情報はユーザーのデバイス内にのみ保存され、デバイス内の秘密鍵の利用を許可するために使われる。 神話5：パスワードレスでもフィッシングは防げない 5つ目の誤解は「パスワードレス認証はフィッシングに弱い」（Passwordless is vulnerable to phishing）だ。 真にフィッシング耐性を持つパスワードレス認証システムには、最新のフィッシング手法に対抗する複数の保護機能が組み込まれている。ログインのたびに、デバイス内で秘密鍵を使って一度だけ有効なデジタル署名を生成するが、秘密鍵がWebサイト側へ送信されることはない。 結論 Cisco Talosは、パスワードレスとは単なる新しいログイン方法ではなく、大切なものを守るためのより安全でシンプルな方法だと位置付ける。リスクを軽減するには、自宅でも職場でも、パスワードレスに向けて少しずつ努力を重ねることが必要だとしている。