schedule 2022/05/30 refresh 2023/11/08
リモートワークが主となってきた現在、皆さん、会社PCのアクセス方法は何を使っていますか?
弊社は証明書認証とFIDO認証を組み合わせ、パスワードレスなアクセスを現在実現しています。今回は、パスワードレスにすることのメリットやその方法をご紹介します。
パスワードレスはなぜ重要なのか
ではまず、パスワードレスがなぜ必要なのか。弊社でも取り入れているWindows Hello(*1)を提供しているマイクロソフト社も2017年にパスワードレスを実現するための戦略(*2)を発表しています。
アカウントへのログインといえば、IDと組み合わせたパスワードが一般的です。しかしながら、DX化が進んでいる現代では特に、業務で使用するサービスやシステムがどんどん増え、それぞれにログインを求められます。増えていくサービスのIDとセットで、パスワードが増えていくと、管理の手間も増えてしまうため、パスワードの使いまわしや簡略化をするユーザーが増加し、「簡単に盗まれやすくなること」が問題となってきます。
実際に、ある調査(*3)では回答者の90%がパスワードの漏洩によるデータ漏洩の影響を経験しています。
したがって、パスワードでのログインを続けているとユーザーや企業がセキュリティリスクに常にさらされる状態が続くことになります。
パスワードレスな環境というのは、それらのリスクを解消する手段の一つとして期待されているのです。
パスワードレスを実現するには、パスワード以外の認証方法を使用することで回避できるので、認証方法をFIDO認証・PUSH通知認証・ワンタイムパスワード認証に代替します。
弊社製品SeciossLinkでもこの認証方法の変更は管理者の管理画面>認証のページから設定をすることができます。詳しい設定方法はヘルプサイトを御覧ください。
図1. SeciossLink管理画面(認証の設定)
FIDO認証によるパスワード認証はユーザーの情報をデバイス内で確認した結果のみサーバーに送信するため、生体情報やPIN情報がネットワークに残ることがなくサーバーに保存されることもありません。
図2.FIDO認証の仕組み
弊社ではさらにセキュアなものにするために、使用するPC端末に証明書をダウンロードしておく証明書認証を組み合わせています。こうすることで、PCを立ち上げた際にユーザーIDが登録されているため、IDの入力が省略されユーザーはFIDO認証を行うのみでログインできる環境が実現されています。
FIDO認証にはWindows Helloにも用いられており、生体認証とPIN認証の二つに分類されています。弊社は基本的に前者の生体認証を使用している社員が多く、朝PCを起動させ、PCのインカメラで顔を映すまたは指紋認証させるのみでログインを完了させています。
今回はWindows Helloを使った生体認証やPINを用いた認証でしたが、PUSH通知認証・ワンタイムパスワード認証でもパスワードレスな環境の構築は可能です。現在SeciossLinkでは様々な認証方法(多要素認証)に対応していますので、こちらのページでご確認ください。
皆様もパスワードレスの環境で、よりセキュアな環境で、更に管理の手間も削減しませんか?
その際にはぜひ、弊社のSeciossLinkの導入をご検討ください。
*1 Windows Hello
Windowsへログインする際に顔認証や指紋認証といった生体認証機能を提供する機能
*2 The Era Of Passwordless Authentication
https://www.forbes.com/sites/forbestechcouncil/2019/06/07/the-era-of-passwordless-authentication/?sh=4a4200315279
*3マイクロソフト社のパスワードレス戦略
https://docs.microsoft.com/ja-jp/windows/security/identity-protection/hello-for-business/passwordless-strategy
