脱パスワードなログイン方法とは?
手間とセキュリティをどうバランスするか
業務で利用するサービスには必ずログインという行為が必要になります。不正ログイン対策などのセキュリティの観点や、ログインの簡便さなどのユーザーの手間を減らす観点から様々なログイン方法が開発され、実装されています。
昨今ではクラウドサービスの普及により、業務で利用するサービスの数も増えています。加えて、テレワークが一般的になってきた昨今、職場以外の環境でもサービスにログインする機会も増えていることから、セキュリティリスクについても改めて考慮が必要になっております。
本記事では、さまざまなログイン方法のメリットやデメリットを紹介しつつ、現在最も求められているログイン方法について考察していきます。
目次
ログイン方法の種類について
利用されることが多いログイン方法についてそれぞれの特徴を紹介していきます。
ID・パスワード
多くのサービスで最も一般的なログイン方法と考えられています。IDとパスワードの2種類を入力し、それが合致していたらログインできる、という方法です。「本人だけがID・パスワードを知っている」という前提の元に、長年ログイン方法の主流でした。ただし、パスワードを付箋に書いて、誰もが見える場所に貼っておく、という管理の杜撰なユーザーが原因で、不正ログインが起こるという事件が報じられるなど、ユーザーリテラシーに依存してしまう点や、セキュリティリスクを減らすためにユーザーに一定期間ごとにパスワードの変更を課している一方で、パスワード管理におけるユーザーの手間についても問題視され始めています。
ワンタイムパスワード
ID・パスワードだけのログインですと、不正ログインのリスクが高まります。そこで、それ以外にもログインを通す条件を増やすことを「多段階認証」や「多要素認証」と呼びます。ワンタイムパスワードは「多段階認証」のひとつとされており、文字通り一回きり使えるパスワードです。ワンタイムパスワードは管理者が発行し、ユーザーに伝える方法もありますが、最近では、ワンタイムパスワードを自動発行するアプリをユーザーにインストールしてもらい、そこでワンタイムパスワードを確認する方法も一般的になってきました。個人向けインターネットバンキングのログインで利用されることも多いため、一般的な知名度も高いログイン方法です。
PIN番号
PINはPersonal Identification Numberの略称となります。サービスのログインに利用されるというよりはスマートフォンなどの端末のロックを解除する際に利用されます。PIN番号は4桁~6桁で設定されることが多く、スマートフォンの設定によってPIN番号なしでも端末ロックの解除ができますが、業務端末として支給したスマートフォンについてはPIN番号を設定を強制にしている企業が少なくありません。
SMS/Email認証
多要素認証として多く利用されているのは、SMSやEmailを経由して認証コードを送付する認証方法です。ECサイトなどの決済サービスやチケット予約・販売サイトなどで利用されることが多く、一般的にも認知度が高い認証方式です。
ソーシャルログイン
LINEやfacebook、X(旧Twitter)など多くの方がソーシャル・ネットワーキング・サービス(SNS)を利用しています。ソーシャルログインとは、これらのSNSのアカウント情報を利用して、簡単にログインができる方法のことをいいます。ユーザー情報の入力が連携元のSNSプロバイダーから引き継がれるなどのメリットもありますが、この方式はBtoB向けのサービスのようなサービスでは採用されることが少なく、どちらかというとBtoC向けのサービスで活用されることが多いです。
勢いで決めてはいけない!自社にあった認証・許可の仕組みIDaaSの選定ポイントをご紹介
デバイス証明書
デバイス証明書のログイン制御は、前提としてPCやスマートフォンなどのデバイスに対して電子証明書をインストールする必要があります。サービスへのログインの際に証明書を持つ端末からの認証は許可し、証明書を持たない端末からの認証は通さない、という制御が可能です。
USBトークン
USBという物理デバイスがあって初めてログインが可能になるという、極めて高いセキュリティレベルが求められる場合に有効です。ログインに必要なUSBトークンは本人だけが持っている、という前提から不正ログインを防ぐ目的ですが、物理デバイスの紛失や故障、導入・運用コストがかかる等のデメリットもあります。
生体認証
FIDOなどの生体認証は、指紋や静脈、顔などの人ごとに異なる身体の一部を要素とした認証方法です。生体にあたる要素は人ごとに異なるため、個人を詐称されることが極めて少ない、不正ログインのリスクが少ない認証方法と言えます。生体を確認する手段についてはデバイスに依存する形となります。最近では、PCのカメラで顔認識ができ、認証を通すことができますが、指紋や静脈などはPCそのものでは読み取る方法がないため、外付けデバイスの用意が必要な場合もあります。会社支給の端末で利用しようとする場合には、PCやOSのスペックなどに依存して利用できないケースもあるため、十分なスペックを確保したデバイスを用意するなどのコストとのバランスを考える必要がありそうです。
運用管理やユーザーの手間について
それぞれのログイン方法について見てきましたが、情報システム部としての運用管理の簡便さや、ユーザー自身のログインの手間、それに加えてセキュリティとして不正ログインをどれだけ防ぐことができるか、という様々な判断基準があるかと思います。十分なセキュリティレベルを確保しつつ、ユーザーに負担はかけたくない、というのがシステム担当者の本音ですし、目指すべき理想の運用かと思います。運用やセキュリティの課題、技術の進歩を経て多様なログイン手法が確立されてきましたが、今現在、そして今後はどのようなログイン方法が理想とされるのでしょうか。
新しい「脱パスワード」という考え方
高セキュリティなログイン方法を検討する際に第一に考える必要がある点は「不正ログイン」を減らすことです。そのためには、パスワードの漏えいを防ぐことが大切となります。漏えいを防ぐためにはワンタイムパスワードやSMS/Emailでのパスワード送付など、本人しか認識しえない(認識されえない)情報をログインの条件としてきましたが、そもそもパスワードを入れるということ自体をなくす、という発想も一般的になってきました。一言で表すならば「脱パスワード」を実現するログイン方法です。今回、紹介したログイン方法のなかでは、デバイス証明書の利用が多いようです。デバイス証明書が端末にインストールされている、という条件を元にログインを許可するものなので、パスワードを設定する、覚える、という必要がそもそもありません。
まとめ
ログイン方法は数多くありますが、セキュリティレベルと運用の手軽さの観点でそれぞれメリット・デメリットがあります。そのなかで、情報漏えいのリスクを減らしつつ、ユーザーの負担が少ない「脱パスワード」という考え方が広まってきています。
HENNGE Oneは「脱パスワード」の形でデバイス証明書を利用したアクセス制御が可能な、国内シェアNo.1(※)のクラウドセキュリティサービスです。不正ログインのリスクを減らしつつ、ユーザーや管理者にも負担の少ないログインが可能です。また、ID・パスワードを入れてログインさせる一般的なログインも提供しており、定期的にパスワードを変更させる運用も可能です。一般的に複数のクラウドサービスを利用する場合、サービスの数だけパスワードを管理する必要がありますが、HENNGE Oneのシングルサインオン(SSO)機能によって、ログインを一元管理することが可能です。
HENNGE Oneを導入することで、高セキュリティと利便性の両方を実現する運用が可能となります。
※ ITR「ITR Market View:アイデンティティ・アクセス管理/個人認証型セキュリティ市場2025」IDaaS市場:ベンダー別売上金額シェアにて2021年度、2022年度、2023年度、2024年度予測の4年連続で1位を獲得
