最大の脆弱性「人的ミス」がなくなる? 「パスキー認証」導入が進むワケ
企業や組織のセキュリティでは、今や常識となりつつある「ゼロトラスト」。社内外のあらゆる場所に脅威が存在するという考え方だが、肝心のユーザー認証には適用されていないことが多い。「ユーザーが適切にパスワードを管理している」ことを前提とし続ける以上、「人に起因する脆弱性」は解消できない。そこで本稿では、次世代の認証方法として注目を集める「パスキー認証」にフォーカスし、この新技術で「認可と認証のゼロトラスト」を実現する方法を解説していく。
(Photo/Shutterstock.com)
認証強化で「周回遅れ」の日本企業が採るべき選択肢は「パスキー認証」
ITシステムにおけるアクセス制御は、大きく「識別」「認証」「認可」の3つのプロセスから成っている。このうち認証については、IDとパスワードによる単要素認証の危険性が早くから指摘されてきた。というのも、パスワードは第三者が利用可能な上、認証情報そのものをネットワークに流す必要があるため、盗み取られて悪用されやすいからだ。
アクセス制御は、大きく「識別」「認証」「認可」の3つのプロセスから成っている
こうした懸念から、認証機能の強化は世界的に優先されてきた。標的型攻撃へのセキュリティ対策強化で重視する項目の調査では、1位のOSやパッチのアップデート48%に次いで、2位が多要素認証(Multi Factor Authentication:MFA)の導入で47%となっている。
世の中の動きとしても、2021年に米国は、全政府機関にMFA化を指示する大統領令を発令。2022年から2023年にかけては、Salesforce、GitHub、SAP Concurなど大手クラウドサービスがMFAを強制化している。
こうした海外の動きに比べて日本は、「認可」プロセスへの対応に集中しており、「認証」プロセスのセキュリティ強化に対する意識がかなり遅れているのが実情だ。「総務省2023年版情報通信白書」によると、認証強化の導入率はわずか18.1%にとどまっている。この現状をどう変えていけばよいのか。
もちろん、ただMFAを導入すればいいというのでは、ツールの分散や認証時の手間といったMFAの欠点まで抱え込むはめになる。その欠点を補うためにも、今後は生体認証を用いたパスワードレス化が進み、次世代の「パスキー認証」に急速に移行していくと考えられる。次章からは、パスキー認証の詳しい機能や利点、日本企業や組織への導入方法について見ていこう。
こうした懸念から、認証機能の強化は世界的に優先されてきた。標的型攻撃へのセキュリティ対策強化で重視する項目の調査では、1位のOSやパッチのアップデート48%に次いで、2位が多要素認証(Multi Factor Authentication:MFA)の導入で47%となっている。
世の中の動きとしても、2021年に米国は、全政府機関にMFA化を指示する大統領令を発令。2022年から2023年にかけては、Salesforce、GitHub、SAP Concurなど大手クラウドサービスがMFAを強制化している。
こうした海外の動きに比べて日本は、「認可」プロセスへの対応に集中しており、「認証」プロセスのセキュリティ強化に対する意識がかなり遅れているのが実情だ。「総務省2023年版情報通信白書」によると、認証強化の導入率はわずか18.1%にとどまっている。この現状をどう変えていけばよいのか。
もちろん、ただMFAを導入すればいいというのでは、ツールの分散や認証時の手間といったMFAの欠点まで抱え込むはめになる。その欠点を補うためにも、今後は生体認証を用いたパスワードレス化が進み、次世代の「パスキー認証」に急速に移行していくと考えられる。次章からは、パスキー認証の詳しい機能や利点、日本企業や組織への導入方法について見ていこう。
この記事の続き >>
-
・世界的に標準実装が進む多要素認証の落とし穴とは?
・「人の脆弱性」を排してゼロトラストを実現する「パスキー認証」とは
・「パスキー認証対応の認証基盤」を構築するには?
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
あなたの投稿
