多要素認証に変わる

多要素認証に変わる ーパスワードが含有する課題ー

情報漏えいの81%はパスワードの脆弱さや盗難がきっかけで発生しているという調査結果があります。このブログではパスワードが抱える課題と解決策を考えたいと思います。

■パスワードの課題


ICTシステムを使う上で欠かせないのが「認証」です。

ICTシステムの「認証」は、システムを使おうとしている人物が「どの部署の誰なのか」を確かめるためのもの。認証によって本人確認が可能になれば、アクセスできる情報を制限したり、利用できる業務システムを限定したりすることができるため、セキュリティが強化されます。

現在、多くのシステムが採用している認証方法が「ID/パスワード」です。パソコンにログインしたり、Webサービスにサインインしたりする場合も使われています。

ID/パスワードはシステムに組み込みやすく、コストもほとんどかかりません。しかしその一方で、ID/パスワードが一致すれば本人以外の人物でもシステムにアクセスできてしまうというリスクもあります。

「1234」や「0000」、誕生日など安易なパスワードを設定したり、複数のサービスでID/パスワードを使い回していたりすると、不正アクセスやサイバー攻撃を受けるリスクが高くなります。

企業では、情報システム部門が「定期的なパスワードの変更」や「複雑なパスワードの設定」を行うケースもありますが、これも安全とは言えません。パスワードを覚えられなかったユーザーがメモをパソコンに貼り付けるなどして、セキュリティレベルを落とすケースも少なくないからです。

このように、広く使われている認証方式のID/パスワードですが、実際の運用では大きな課題あります。

■パスワードの課題を解決するには


それでは、どうすればセキュリティレベルを落とさずに認証できるのでしょうか。その回答の1つが、認証の要素を組み合わせる方法です。

0916_passwordless.png

「認証の要素」には、本人しか知り得ない「知識情報」、指紋や声紋といった個人の特性などの「生体情報」、特定の機器を所持する「所持情報」の3つがあります。

ID/パスワードや秘密の質問などは、「知識情報」を使った認証方式。汎用性が高く低コストで導入できますが、「覚えられない」「漏洩しやすい」といった課題があります。

「生体情報」は、指紋や顔認証、静脈認証、虹彩など、利用者自身の特長のこと。そもそも身体に備わっているため、覚える必要がなく、なくす恐れがありません。また複製や偽造が難しいといったメリットもあります。そのため、スマホやパソコンでこれらの認証を採用するケースが増えています。

しかし、「生体情報」にも問題があります。時間の経過と共に、生体情報が変化した際の対応を考えなければなりません。万が一、生体情報が漏えいした場合、安全性の回復が難しいという点も大きな課題です。

「所持情報」は、ICカードやハードウェアトークン、ワンタイムパスワードなどユーザーが持っている「もの」のこと。これらを所持することで本人確認できるので、何かを記憶する必要はありません。ただし、破損、紛失、盗難といったリスクがあります。

■多要素認証(MFA)という考え方


このように、認証の要素はそれぞれメリット/デメリットがありますが、これらを組み合わせることで、メリットを活かしながらデメリットを最小化することができます。このような考え方を「多要素認証」(MFA)といいます。実際に、多要素認証を使って認証を行うケースは少なくありません。

例えば、ATMからお金を引き出す場合、キャッシュカードと暗証番号が必要です。これは所持情報と知識情報を組み合わせた多要素認証となります。

このような多要素認証は、今後あらゆるサービスを使う上で、事実上の業界標準となっていくでしょう。

現在、企業システムはクラウドファーストが一般化しており、時間や場所を問わずシステムやサービスを使用できる環境が整いつつあります。昨今、リモートワークを推進する企業が増え、この潮流は加速しています。

そういった世界では、ID/パスワードの認証だけで十分なセキュリティ対策を施すことは困難です。だからこそ多要素認証が必要になるのです。多要素認証であれば、課題が多いID/パスワードも必要なくなる(パスワードレス)可能性もあります。

実際にパスワードレス認証を謳うソリューションも登場し、現場やシステム管理部門の運用工数や生産性を落とさず、セキュリティを確保できるようになっています。

企業システムのセキュリティやID/パスワードの管理・運用に課題を持つ企業は、多要素認証を視野に認証を検討するといいでしょう。