2023年10月26日8:35
パスワードレス認証の導入が増えてきた。例えばGoogleでは、2023年10月10日、個人のGoogleアカウントでパスキーをデフォルトのオプションとして提供を開始した。また、Microsoftでも「Windows 11 23H2」でパスキーの正式サポートを発表している。インターナショナルシステムリサーチ(ISR)では以前からパスワードレス認証の普及や啓発を行ってきたが、9月28日に企業におけるパスワードレス認証導入の障壁と対策に関する記者勉強会を開催した。
ISR 代表取締役社長 メンデス・ラウル氏
パスワードレス認証は近い将来、普及が進む?
情報漏えいの8割以上の原因がパスワード
ISR 代表取締役社長 メンデス・ラウル氏は「パスワードレス認証はいつ頃導入されるかに変わってきている」と話す。まだ導入が進んでいないが、その理由として認識不足が挙げられる。パスワード認証には利便性、安全性の面で課題があるという。利便性面ではユーザーのパスワード忘れがある。また、複数のクラウドサービス利用による入力ミスなどによる再入力の手間も課題として挙げられる。さらに、パスワードの漏洩により不正ログインにつながる可能性がある。利用者は、複雑で長いパスワードを使うのが面倒なため、短いパスワードを使ったり、同じパスワードの使いまわしにより第3者が推測することが可能となる。
パスワードに依存しない認証の標準化を目指すFIDOアライアンスのデータによるとデータ漏洩の80%以上の根本原因がパスワードである。また、ユーザーの90%の人は90個以上のオンラインアカウントを持っており、使い分けが難しい。また、最大51%のパスワードが再利用されている。そのようなパスワードに置き換わるものとしてパスキーが登場した。パスキーはFIDOの認証資格情報のことを指し、デバイスによって生成される暗号化キーペア、公開鍵と秘密鍵を用いた認証方式に基づいている。
パスワードの場合、秘密の情報であるパスワードをユーザーとサーバが共有している。ユーザーがパスワードを送り、受け取ったパスワードが事前に共有されたものと一致しているかどうかを確認する。パスワードはネット上でやり取りされるため、フィッシングなどにより途中で第三者に窃取される恐れがある。パスキーの場合、ユーザー端末とサーバが対となるキーペア、秘密鍵と公開鍵を保管している。認証の際には、ユーザー自身の端末や認証機で生体情報やPINコードによる認証を行うと、秘密鍵によって暗号化された認証結果がサーバに送信される。その後、サーバが受け取った情報を公開鍵で復号することで認証が可能だ。認証情報自体はネットワーク上に出ることはないため、フィッシング耐性がある。
パスワードの課題がパスキーに切り替わることで、顔や指紋をかざすだけなので記憶に頼ることがなくなる。また、同社では、パスワードは情報漏洩につながる可能性があるが、パスキーでは認証情報は認証機に保管されるため外部に出ることはないとした。さらに、ログインに時間がかかる、手間がかかることに関しても顔や指紋により簡易に認証が可能だ。
Google、Apple、Microsoftがパスキーサポート
今年対応を続々と表明
すでにGoogle、Apple、Microsoftの大手3社はパスキーのサポート拡大を発表しており、導入に動き出している。Googleは5月3日に個人のGoogleアカウントの通過サインインオプションとしてパスキーの開始を発表した。6月6日にはGoogle Workspaceでもパスキーによる認証が可能となった。オープンベータ版として900万以上の組織でパスキーによるサインインができるようになっている。
Appleは9月18日にリリースされたiOS17にパスキーに関する新機能を搭載した。1つはパスワードとパスキーをグループで共有可能になるというものだ。Microアドキーチェーンを通じて行われるため、エンド・トゥ・エンドで暗号化される。2つめはApple IDにパスキーのサポートを追加している。Apple IDを持つユーザーには自動的にパスキーが割り当てられ、パスワードの代わりにFace IDやTouch IDを使ってサインインできるようになった。
Microsoftは9月26日にWindows11のアップデートでパスキーに対応した。Windows Helloでパスキーを作成すると、顔、指紋、デバイスのPINを利用してWebサイトやアプリケーションにアクセスすることが可能だ。また、Windows PCに保存されたパスキーを管理したり、携帯電話に保存されたパスキーを使ってサインインできるようになる。
BtoC市場でもパスキーが広がる
eBayはパスキーを導入
BtoC市場でもパスキーが広がっているそうだ。FIDOアライアンスのケーススタディではeBayを紹介している。eBayは、世界中の数百万人の買い手と売り手をつなぐグローバルなECマーケットプレイスだ。eBayでは、ユーザー名とパスワードを使用する認証手順は悪意ある攻撃者に狙われやすいという課題があった。ユーザーはパスワードを忘れてリセットすることも多かった。その対策として、SMSワンタイムパスコードを導入。しかし、コストは増し、複数の認証が必要なステップによりユーザーの摩擦も増した。セキュリティ面では、高いセキュリティを提供するものの、中間者攻撃に弱い課題がある。
これらを踏まえ、eBayでは、FIDO認証を導入した。その理由として、安全なプロトコルだけではなく、190の市場で事業を展開しており、多彩なユーザーを抱えているため、認証機能がさまざまなブラウザやプラットフォームで動作する必要がある。その観点でFIDOが導入されたそうだ。
初期のFIDOの導入ステップとして、プッシュ通知認証を使用して二要素認証として導入した。ユーザーがユーザー名とパスワードを利用してログインし、モバイルeBayアプリからログインの通知が届く。通知を受け取ったデバイスでユーザーがログインの許可をすると成功となる。これにより、SMS認証よりも高いオプトイン率を獲得した。
その半年後、パスワードレス認証に進むことになった。ログインフローの簡素化に向けて一回目の認証にFIDO2を導入。ユーザーが既存の認証情報を使ってログインし、デバイスのOSやブラウザがFIDO2をサポートしているかを検知し、サポートしていればパスワードレス認証への登録を尋ねるポップアップが表示される。登録する場合は顔、指紋の登録が求められ、自動的に登録される。次にログインする時は生体認証によるログインが可能だ。
生体認証を利用して1年経過した時点ではオプトイン率はSMSパスワードよりも高いだけではなく、ログインの成功率と完了率もモバイルデバイスで大幅に向上した。eBayはパスキーを使ったログインもサポートしている。FIDO2のパスワードレス認証では登録したデバイスでしか認証できなかったが、パスキーをサポートすることにより複数のデバイスで認証が可能となり、利便性が向上した。ただ、手順としてはFIDOのパスワードレス認証と変わりはない。
ユーザーが既存のパスワードを入力してログインする。その利用者の使っているデバイスがパスキー対応である場合、登録するかどうかを尋ねる。生体情報を使ってパスキーを登録したら、Apple製品の場合、iCloudのキーチェーンに保存される。ユーザーが二回目にログインすると、直接ログインボタンをクリックでき、Touch IDやFace IDを使って自身のアカウントにログインできる流れだ。
金融技術PFのIntuitがログインの摩擦解消
Nok Nok Labsソリューション導入の成果は?
2つ目の事例として6月に公開されたIntuit のFIDO2のパスワード事例を紹介した。Intuitは、全世界で1億以上の消費者と中小企業を支える金融技術プラットフォームだ。同社は、TurboTax、Credit Karma、QuickBooks、Mailchimpなどのサービスを提供しているが、顧客の課題としてログイン時に摩擦を感じている点、ログインに成功するまでの時間が長くなりカスタマーケアが必要だった点がある。同社はNok Nok Labsが提供するFIDOベースの認証ソリューションを自社で導入した。
