パスワードレス認証のバイヤーズガイド

ユーザー認証ソリューションを評価してから、かなり時間が経ったことでしょう。

結局のところ、企業が新しいユーザー認証ソリューションを求めて市場に出ることはめったにありません。 ユーザーを認証するために単純なパスワード以外を使用したことがない人もいます。 また、リモート アクセス接続の認証に関連する特定のセキュリティ上の問題に対処するため、またはより強力な認証の規制要件に対応するために、従来の多要素認証ソリューションを展開している場合もあります。 この短いガイドでは、最新のユーザー認証アプローチの現在のレビューを提供します。

2017 年に公開された Verizon の Data Breach Investigation Report (DBIR) は、ユーザー認証に関する認識の分岐点のようなものでした。 このレポートは、データ侵害の 81% がパスワードの侵害によるものであることを明らかにしたとき、IT 業界全体の見出しになりました。

これは、多くの企業が、パスワードがセキュリティの問題を解決するのではなく、代わりに多くのセキュリティの問題を引き起こしていることに気づき、代替の認証オプションを検討し始めたときです. これは、パスワードレス認証が、先進的な企業が追求するニッチな選択肢から、誰もが話題にするものになった瞬間です。

パスワードレス認証とは

パスワードレス認証は、パスワードを使用せずにユーザーの身元を確認する認証ソリューションのクラスを定義します。 ID の証明は、ユーザーに一意に関連付けられたもの (ワンタイム パスワード ジェネレーター、登録済みのモバイル デバイス、ハードウェア トークンなど) の所有など、ユーザーを一意に識別する他の要素、またはユーザーの生体認証署名 (たとえば、指紋、フェイスプリント、網膜スキャンなど)。 ユーザーが知っているものに基づく認証 (つまり、知識ベースの認証) も、それがパスワードでない限り可能です。

4種類のパスワードレス認証方式

人々がよく選択する、一般的に使用されるパスワードなしの認証方法をいくつか紹介します。

ワンタイムコード

登録済みのモバイル デバイスまたは電子メール アドレスに送信されるワンタイム コード。 これは通常、顧客を認証するために企業によって展開されます (B2C)。 企業認証、つまり従業員の認証にはあまり使用されません。

生体認証

このパスワードレス認証方法は、Apple Face ID でのテクノロジの実装が一般的であり、最も安価なモバイル デバイスでさえどこでも利用できる指紋認証により、ユーザーをモバイル デバイスに認証するための標準となっています。 生体認証は、主にデバイス自体に対してユーザーを認証するために使用され、デバイスからアクセスされるリソースに対してはあまり使用されません。

専用ハードウェア セキュリティ トークン

通常、Public Key Infrastructure (PKI) 資格情報を格納する、専用のハードウェア セキュリティ トークン。 近年、YubiKey などの FIDO 準拠のデバイスは、パスワードに代わる高保証のユーザー認証として人気が高まっています。 これらのデバイスは、偽造が難しく、物理的な所有が必要なため、適切なレベルのセキュリティを提供しますが、ユーザーが持ち運びして使用するにはかなり高価で面倒です.

ホスト デバイスにアタッチされた認証資格情報

このクレデンシャル (つまり、パーソナル コンピュータに固定された PKI クライアント認証証明書) は、主に従業員のワークステーションをビジネス ネットワークおよびリソースに対して認証するために使用されます。 ここでも FIDO 準拠のソリューションが人気を集めており、最も注目すべき例は Microsoft Windows Hello for Business です。 Windows Hello は、新しいバージョンの Windows で利用でき、FIDO 準拠の資格情報をユーザー PIN または生体認証プリントと組み合わせて、資格情報へのアクセスをロック解除します。

多要素認証 (MFA) とパスワードレス認証

身元証明のために複数の形式の認証を組み合わせると、多要素認証 (MFA) になります。 歴史的に、MFA はパスワードベースの認証のセキュリティを向上させる方法として使用されてきました。 パスワード (知っているもの) を専用のキー フォブまたは登録済みのモバイル デバイス (持っているもの) と一緒に使用すると、複数の認証要素が提供され、フィッシング、クラック、またはハッキングが困難になるため、より高いレベルの保証が提供されます。

今日では、要素の 1 つとしてパスワードを使用せずに複数の認証要素を使用できるため、パスワードレス MFA が実現します。 パスワードレス MFA で最も一般的に使用される認証要素は、ユーザーの登録済みモバイル デバイスとユーザー PIN、またはデバイスの組み込み指紋センサーを介して提供される指紋です。

パスワードレス認証ソリューションを評価する際の考慮事項

では、適切な認証ソリューションを探すとき、企業は何に注目すべきでしょうか? 新しいユーザー認証ソリューションを購入する際には多くの考慮事項がありますが、最も重要なものは次の 3 つです。

認証ソリューションは、ユーザーの認証ユースケースを幅広くサポートしていますか?

最も基本的な考慮事項は、認証ソリューションが、ユーザーが日常的に遭遇するあらゆる認証のユースケースをサポートしているかどうかです。 特定のユースケースがサポートされていない場合、2 つのオプションのいずれかが利用可能です。既存の認証ソリューション (通常は単純なユーザー名とパスワード) をそのままにしておくか、2 つ目の認証ソリューションを導入します。

ユーザー名とパスワードに戻すと、脆弱なパスワードが依然として攻撃者に悪用される可能性があり、ビジネスが危険にさらされる可能性があるため、より優れた、より安全な認証ソリューションに投資するという目的が失われます。 それは、家の周りに要塞の壁を築き、南京錠の付いた裏口の入り口を残すことに例えられます。

サポートされていないユースケースを処理できる 2 つ目の認証ソリューションを取得することは、別のソリューションを展開することを意味し、さらに重要なことに、ユーザーは別の資格情報/認証システムを持ち歩く必要があります。 これは高価な提案であり、ユーザーを苛立たせる可能性が高いエクスペリエンスも提供します。

幅広いユーザー認証のユースケースをサポートすると、典型的な企業にかなりの数のシナリオが追加される可能性があります。 一般的なエンタープライズ ユース ケースには、次のようなものがあります。

• Windows および Mac ホストを含​​むワークステーション ログオン、および一部の企業では Linux も重要な考慮事項です。 これは、オペレーティング システムやネットワーク ドメイン管理ソリューションとの微妙な統合を必要とするため、多くの認証ソリューションにとって最も困難な使用例です。
• リモート アクセス VPN は、モバイルおよびリモートの従業員が仕事への接続を維持できるようにする主要なテクノロジです。 いくつかのテクノロジが使用されており、多数のベンダーがソリューションを提供しています。 幸いなことに、何年にもわたって、認証システムとの直接的な統合を可能にする一連の標準が登場しました。
• クラウド アプリへのアクセスは、最も伝統的な企業にとっても主流になっています。 エンタープライズ認証システムとクラウド サービス間の相互運用性を促進するためにいくつかの標準が用意されていますが、すべてが完全に確立されているわけではありません。 競合する標準と既存の標準に対する頻繁な改訂は、クラウド サービスへのアクセスのサポートが常に変化する目標であることを意味します。
• オフライン認証は、一般的な多くの認証システム、特に多要素認証 (MFA) にとって弱点となっています。 ほとんどの認証ソリューションは接続された世界向けに設計されているため、これは難しい課題です。 そのため、ネットワーク接続がダウンしているか利用できず、認証サーバーにアクセスできない場合、ユーザーが自分のコンピューターとローカルにホストされたリソースに対して認証を継続できるようにするために、入念な回避策が必要になります。
• オーセンティケータの紛失は、特にハードウェア オーセンティケータの場合、大きな頭痛の種になります。 代わりのトークンをリモートの従業員に物理的に発送するには、コストと時間がかかります。 そのため、ダウンタイムの長期化を防ぐために、ハードウェア ベースの MFA ソリューションの一部に対してソフトウェア ベースのリカバリ ソリューションが開発されました。

一般的に言えば、最新のエンタープライズ認証ソリューションは、さまざまな認証ユースケースを処理できる万能プレーヤーでなければなりません。 特定のユースケースに適切に対応するポイント ソリューションを選択すると、複数の認証ソリューションを展開する必要が生じる可能性が高く、これは費用がかかり、ユーザーにとって負担になります。

認証ソリューションは、既に導入されているもので機能しますか?

ほとんどの企業の現実は、IT への長年の投資を通じて、さまざまなシステムとアプリケーションの組み合わせを獲得したことです。 これらのシステムは認識される必要がある現実であり、新しい認証ソリューションは、すでに導入されているすべてのものと連携できる必要があります。 リップ アンド リプレースのアプローチは、あまりにも手間がかかり、費用もかかります。

したがって、最新の認証ソリューションは、レガシー システムとアプリケーションをサポートし、既存の IT 投資と簡単に統合できるように設計されていることが期待されます。 既存のユーザー ディレクトリ (Active Directory など) のサポート、レガシー システムの操作、既存の認証ソリューションとの連携などはすべてソリューションに組み込まれるべきであり、高価なカスタマイズや統合プロジェクトを必要とするものではありません。

USB トークン、OTP トークン、FIDO オーセンティケーター、モバイル オーセンティケーターなどの既存の認証ソリューションと連携することも必要です。 多くの企業が強力な認証ソリューションに投資してきました。つまり、他に何も展開されていないグリーンフィールドの機会はほとんどありません。 したがって、既存の認証ソリューションと調和して動作し、異種認証環境の操作を簡素化し、古いソリューションを徐々に廃止してより新しいソリューションに移行する手段を提供することは、それ自体が重要な考慮事項になっています。

ソリューションは、監査人や規制当局からの要件に対応していますか?

最近のほとんどの企業は、規制された業界で運営されており、データ保護とユーザー認証に対する厳しい要求にさらされています。 したがって、PCI DSS、DFARS、HIPAA、SOX/GLBA、PSD2、GDPR などの規制や業界標準への準拠は重要な考慮事項であり、多くの場合、新しいユーザー認証ソリューションへの投資の主な原動力となります。

パスワードレス認証のメリット

パスワードレス認証は、新しいソリューションがあらゆる面で明らかに優れている、人生でまれなケースの 1 つです。 それを選択するために、トレードオフを行ったり、長所と短所を比較検討したりする必要はありません。 パスワードレス認証は、パスワードベースの認証ソリューションと比較して、より優れたセキュリティとユーザー エクスペリエンスを提供し、所有と運用のコストを削減します。

ユーザーエクスペリエンスを向上させます

パスワードレス認証では、ユーザーがパスワードを思い出して入力する必要がないため、ユーザー エクスペリエンスが向上します。 これは、ログオンが速くなり、試行の失敗が少なくなることを意味します。 また、パスワードを忘れたり、リセットしたりする必要がないため、パスワードの紛失や忘れによるダウンタイムが減り、問題が軽減されます。

全体的なセキュリティを向上

脆弱なパスワードを適切に設計されたパスワードレス認証ソリューションに置き換えると、実際にはセキュリティが向上します。パスワードレスはフィッシング耐性があり、中間者、キーロギング、資格情報のスタッフィング、パスワード スプレーなど、他の形態の資格情報アクセス攻撃に対する保護が強化されるためです。 .

長い目で見れば安い

パスワードレス認証は、パスワードに比べて所有および運用が安価です。 ユーザーが定期的にパスワードを更新し、時折パスワードをリセットできるようにするには、パスワード管理システムをサポートする必要があるため、パスワードの管理にはコストがかかります。

また、パスワードは、ユーザーがパスワードを忘れたり、オーセンティケーターを紛失したりしてヘルプデスクに復旧の支援を求めた場合に、ヘルプデスクに大きな負荷をかけます。 ユーザーを教育し、フィッシングから保護するために導入されたフィッシング防止プログラムを停止することで、さらなるコスト削減を実現できます。 適切に設計されたパスワードレス認証は、フィッシング防止です。

パスワードレス認証の課題

パスワードレス認証の導入を決定する企業にとっての最大の課題は、通常、パスワードレス認証用に設計されていないレガシー システムとアプリケーションです。 そのため、パスワードレス ワークプレースのビジョンを受け入れるのは簡単ですが、新しいシステムと古いシステムが組み合わされた異種の IT 環境を扱う場合、そこにたどり着くのは困難な場合があります。

1 つの方法は、パスワードレス認証をサポートするシステムとアプリにのみパスワードレス認証を展開することです。 これは通常、クラウド アプリのパスワードレス認証の展開につながり、場合によっては新しいオペレーティング システム (つまり、Windows 10 の最新バージョン) にも展開されます。 しかし、パスワードレスへの移行は、実際には全か無かの取り組みです。パスワードを削除するか、削除しないかのどちらかです。

したがって、パスワードレス認証をユーザーに正常に展開するには、通常、パスワードレスがより優れた、安価で安全なオプションであると判断するだけでは十分ではありません。 既存の異種 IT 環境全体にパスワードレスを展開し、すべての認証ユースケースに対処するのに役立つテクノロジを選択することが重要です。

パスワードレス認証ソリューションの展望

市場に出回っているほとんどすべての認証ソリューション ベンダーは、パスワードレス認証を提供すると主張しています。 既存の認証ベンダーは、MFA の提供内容を適応させて、一部のユースケースに対して何らかの形式のパスワードレス認証を許可しています。 新しい認証プレーヤーは、パスワードレスでうまく機能する最新のインフラストラクチャとアプリケーションを使用する顧客をターゲットにして、パスワードレスに全面的に取り組んでいます。レガシー システムとアプリは取り残されています。

しかし、パスワードなしで動作するように設計されていないシステムやアプリがまだたくさんあるため、パスワードなしの認証を普遍的に展開することは、ほとんどの企業にとって依然として不可能です。 一部のシステムでパスワードをそのままにしておくと、ほとんど目的が達成できなくなります。なぜなら、パスワードレスの恩恵を受けるには、本当にすべてのパスワードを削除する必要があるからです。

パスワードレス認証ソリューションへの移行を成功させるには、すべてのシステムとアプリケーションで機能し、可能な場合はパスワードレス認証を提供し、パスワードレスが不可能な場合はパスワードレス エクスペリエンスを作成するソリューションが必要です。 このアプローチの利点は、UX の観点から見ると、ユーザーがパスワードを作成したり、思い出したり、入力したりする必要がないことです。

セキュリティの観点から、パスワードは完全に削除されるか、単にユーザーに知られないようにすることで、フィッシング対策を行います。 さらに、パスワードレス エクスペリエンスを実装する場合、パスワードはマシンによって管理されます。つまり、パスワードは非常に複雑で頻繁なローテーションの恩恵を受け、パスワードに対するさまざまな形式の攻撃に対する耐性が高くなります。