in-depth
  • IAM
  • パスワード
  • ユーザ認証

パスワードの限界とこれからのユーザー認証(後編)

大島 修   上級セキュリティエンジニア

人間が覚えられるパスワードの数は3つ程度と言われている一方、サービスやシステムごとにパスワードを変えるべきという意見もあるなど、パスワードを使ったユーザー認証にはさまざまな課題があります。アメリカの国立標準技術研究所(NIST:National Institute of Standards and Technology)は電子的認証のガイドラインにおいて、パスワードの定期変更をユーザーに強制すべきではないとの考えを示しました。その背景について後編である今回は、今後ユーザー認証はどうあるべきか紹介します。

企業システムにおけるユーザー認証のトレンド

前編では、定期的にパスワードの変更を強制した場合、人間の記憶力には限界があるため、なるべく覚えやすいパスワードにしようというバイアスがかかってしまい、見破られやすい単純な変更のパターンに陥ってしまうということを述べました。

では、特に企業におけるユーザー認証のシステムは今後どう変わっていくのでしょうか。企業におけるユーザー認証におけるトレンドは、認証基盤のクラウド化です。従来、社内システムのユーザー認証はオンプレミス環境に構築されたユーザー認証基盤で行うのが一般的でしたが、企業で利用しているシステムの多くがオンプレミスからクラウドに移行しつつある現在、認証システムもクラウド側に置かれるようになっていきます。また、昨今では従業員の働き方も大きく変化し、在宅勤務やワークシェアリングなど、場所を選ばずにインターネットネイティブな環境で業務を遂行できることが求められています。これに対応する上でも、クラウド上で提供されているSSO(Single Sign On)※1やIAM(Identity and Access Management)※2といったサービスの利用が広まるのではないでしょうか。

その際に重要なポイントとして、インターネットからのアクセスの場合は、本当にユーザー本人がアクセスしているのか、それとも別の人が正当なユーザーを騙っているのかを判別するのは容易ではないということです。そこで、アクセスに付随する情報を活用して「本人らしさ」を判別し、リスクに応じて認証強度を変えるリスクベース認証が使われ始めています。例えば、ユーザーがアクセスに使用している端末やブラウザ、アクセス元ネットワークや場所情報を活用し、通常と異なる環境からアクセスした場合は、パスワードに加えてワンタイムパスワードなど追加の強固な認証を要求し、逆に、いつもと同じ環境からのアクセスであれば、パスワードのみの認証で許可するというものです。このようなリスクベース認証は、セキュリティと業務効率を両立する上でも必要な要素になっていくのではないかと考えています。

パスワードが使われ続ける理由とこれからのユーザー認証

ビル・ゲイツは2004年に"The password is dead"と宣言しましたが、それから14年過ぎた2018年現在もパスワードは多くのシステムやサービスで使われ続けています。死んだと言われてからあまりに長く使われ続けていることから、"Walking Dead"と揶揄されているぐらいです。先に述べた通りパスワードは人間の記憶力に大きく依存しているという課題を抱えていますが、パスワードに変わる決定的な認証手段がまだ存在していないのもまた事実です。

近年ではスマートフォンに指紋認証や顔認証デバイスが搭載されるなど、身近な場面で生体認証が広まり始めています。ただ、現在の技術では複製・模倣された生体情報を使用して突破されてしまうといった課題もあり、パスワードを代替するまでには至っていません。しかし将来的には、『FIDO』などの技術の普及とともに利用が拡大していくでしょう

FIDOとは公開鍵認証を用いたユーザー認証システムであり、認証を行うシステム側に保存した公開鍵とユーザーのデバイス側に格納された秘密鍵を使って認証します。秘密鍵は厳密に管理されデバイス上に暗号化されて保存されており、生体認証やPINコードの入力などによってロックを解除しなければ使用できません。デバイス上での認証が成功すると、認証結果を秘密鍵で署名してサーバ側に送信し、サーバ側では公開鍵での認証結果の検証が行われます。FIDOはパスワードや生体情報といった秘密情報をネットワーク上で伝送する必要がないセキュアな認証方式であり、今後の普及が期待されています。

このようにパスワードに代わるユーザー認証の実現に向けた取り組みもすでに始まっています。企業のユーザー認証基盤を構築する際には、こうしたトレンドも視野に入れつつ検討する必要があるのではないでしょうか。


※1 SSO:シングルサインオン
1回の認証手続きで複数のOSやアプリケーション、サービスなどにアクセスできること

※2 IAM:アイデンティティ&アクセス管理
社内アプリケーションやクラウドサービスなど企業が利用するシステムごとに設定された複数のIDを統合管理し、同時にアクセス権限の適切な管理を行うための仕組み