パスワードレス認証とは

パスワードレス認証とは、従来のユーザ認証方法であるログインID・パスワードを使わずに、ユーザの身元を確認する新しいアプローチである。この手法では、指紋や顔認証、デバイス認証などを利用して、ユーザが本人であることを確認する。パスワードレス認証は、安全性と利便性を両立させるための新たな解決策として注目を浴びている。

従来のパスワード認証の問題点

IDとパスワードを使用した従来のパスワード認証は、パスワードの漏えいや乗っ取りといったセキュリティ上のリスクが高いとされている。パスワード認証は、認証における3要素の「知識情報」、「所有情報」、「生体情報」のうち、「知識情報」に該当し、情報さえ取得してしまえば本人以外でも認証されてしまう。そのため、万が一不正アクセスや情報漏えいによってパスワードが流出した場合、簡単に第三者のログインを許してしまう危険性がある。

また昨今、様々な分野でWebサービスやクラウドサービスが提供されるようになり、それに伴ってユーザが管理するパスワードの数も増加している。ユーザは増え続けるパスワードを管理しきれず、つい覚えやすいパスワードを設定したり、複数のサービスやシステムで同じパスワードを使い回したりしてしまう傾向がある。結果的に認証のセキュリティ強度が低くなり、不正アクセスの被害を受けるリスクも高まるといった問題が増えてきている。

上記のような課題から、近年多くの企業でパスワードを必要とする認証を廃止し、パスワードレス認証の導入が拡大しつつある。しかし、IT管理者にとっては、「移行のハードルが高い」「不具合が起きないか心配」といった不安があり、パスワードを使った従来の認証を使い続けている企業も多いのが現状である。

パスワードレス認証の種類と仕組み

パスワードレス認証を実現する手法として、以下のような認証方法が存在する。

生体認証（バイオメトリクス認証）

生体認証とは、指紋や顔、静脈、声、虹彩など、ユーザ固有の生体的な特徴を利用して認証を行う方法である。他人が簡単に模倣することが難しいためセキュリティ強度が高く、ユーザ自身もスムーズに認証を実行することができるというメリットがある。こうした利点を活かし、金融機関での本人確認やスマートフォンのロック解除などで生体認証の機能が活用されている。

デバイス認証

デバイス認証とは、ユーザが使用する端末を利用して認証を行う方法である。本人しか所持していないスマートフォンやタブレットに通知を送信することで身元を証明する。ワンタイムパスワードを生成するGoogle Authenticatorのような認証アプリや、SMSなどを介して認証を行う。また、認証情報を保存した物理的なデバイスを接続することで認証するハードウェアトークンも、デバイス認証の1つである。

マジックリンク

マジックリンクとは、リンクをクリックするだけで認証を行うことができる手法である。ユーザーが登録したメールアドレスに送信される特別なリンクを介してアクセスするため、簡単かつ迅速にログインすることが可能である。送信されるリンクは、一定の回数や期間を超過すると無効になる場合が多い。メールアドレスで本人の身元を証明するため、生体認証やデバイス認証に比べるとセキュリティ強度は劣る。

FIDO認証

FIDO（Fast Identity Online）認証とは、セキュリティ技術の標準化を促進する団体「FIDOアライアンス」が策定した、公開鍵認証方式を用いた認証方式である。FIDOアライアンスにはGoogleやApple、Amazon、Meta、Intelなどの世界的な企業が加入しており、国際規格としてパスワードレスの標準化を進めている。こうした動向から、FIDO認証は今後のパスワードレス認証のデファクトスタンダードとなりつつある。

FIDO認証では主に生体認証を用いた認証を行うが、利用される生体認証の情報はネットワーク上に流出せず、認証器内にのみ保管される仕組みになっている。そのため、ネットワーク傍受などによる情報漏えいの心配がなく、高いセキュリティを維持することができる。なお、FIDO認証の詳しい仕組みは以下でも紹介している。

「FIDOパスワードレス認証をKeycloakで実現する方法」へ

パスワードレス認証のメリット

パスワードレス認証を導入することで、主に以下のようなメリットがある。

セキュリティの向上

パスワードレス認証では生体情報やデバイス情報を利用するため、第三者による認証情報の複製が難しく、不正アクセスを防ぐことができる。また、複雑なパスワードを覚えたり管理したりする必要がないため、パスワード忘れやパスワードの盗難といったリスクも回避することができる。パスワードレス認証の各手法を組み合わせた多要素認証を導入すれば、さらにセキュリティを強化することもできる。

利便性の向上と業務効率化

最近はクラウドサービスの普及が進み、1人10個～20個ほどのパスワードを管理することも少なくない。パスワードレス認証を導入することで、パスワードを毎回入力する手間や複数のパスワードを管理する負担から解放されるため、ユーザの利便性が上がる。同時に、業務で利用するサービスやシステムへの素早いアクセスが実現することで、作業効率がアップし、日々の業務の効率化、生産性の向上にもつながる。

パスワードレス認証の課題と注意点

パスワードレス認証によってさまざまなメリットを得られる一方で、以下の課題や注意点も考慮する必要がある。

専用の機器に依存する

パスワードレス認証で生体情報やデバイス情報を利用するためには、対応するハードウェアやセンサーなどが必要となる。そのため、それらの機器を持っていない場合や、機器の故障・紛失・盗難に遭ってしまった場合、認証を行えない可能性がある。

ただし、この課題は、MicrosoftやGoogle、Appleが主導して展開している「Passkey（パスキー）」という技術で解決することができる。この技術によって、アカウントが同一の端末であれば複数の機器で認証情報を同期することができるため、機器の入れ替え時やデータの再登録の負担を軽減することができる。

利便性を損ねる場合がある

環境や機器の状態によっては、うまく認証を行うことが出来ず、ユーザがかえって煩わしく感じてしまうケースもある。例えば、機器の不具合で正常に読み取れない、体調やマスク・眼鏡の着用によって指紋や顔認証が通りづらいといった場合が考えられる。そのため、このような場合に対応するための手段や方法をあらかじめ確認し、利用者に共有しておく必要がある。

デージーネットの取り組み

デージーネットでは、パスワードレスの認証方式として、Keycloakを利用したFIDO認証を提案している。シングルサインオンを実現するOSSのKeycloakを使うことで、サービス全体でFIDO認証を実装した仕組みを作ることができる。つまり、Keycloakを認証の入り口とすることで、スマートフォン等の生体認証を利用して、様々なソフトウェアやサービスにログインすることが可能となる。詳しい検証内容や実装方法は、無料で公開している「パスワードレス認証調査報告書」にてまとめている。

「FIDOパスワードレス認証をKeycloakで実現する方法」へ

また、デージーネットでは、顔認証のソリューションとしてFaceAuthというシステムを提供している。一般的にシステムやサービスで顔認証を導入する際は、その利用するサービス自体が顔認証に対応している必要がある。しかし、FaceAuthは様々な認証方法に対応しているため、顔認証に対応していないシステムやサービスでも、用途にあわせて導入することが可能である。また、専用の認証機器を用意する必要はなく、PCに搭載しているカメラやスマホのカメラを利用して顔認証を行うため、初期費用を抑えて導入することができる。

「注目の顔認証で認証の課題を解決〜FaceAuth〜」へ