パスワードは不要！？
未来のスタンダードと成り得るFIDO認証とは？
～それでもパスワードを使いますか？～

総務省の「企業におけるクラウドサービスの利用動向」によりますと、
2019年度の時点でクラウドサービスを利用している企業の割合は約65%と報告されています。

出典：「令和２年版情報通信白書」（総務省）企業におけるクラウドサービスの利用動向(https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd252140.html)

2020年度以降の利用率はまだ報告されておりませんが、コロナ禍が続きリモートワークを採用する企業が増加している中、
この割合は2019年度よりさらに増加していると考えられます。

一方、クラウド利用企業だけでなく、クラウド上でサービスを提供する企業も増加しており、
クラウドサービスの提供/利用が当たり前の時代になってきています。

DX(デジタルトランスフォーメーション)の推進やコロナ禍の影響により、
世の中がクラウドファーストになっていく中、気になるのはやはりセキュリティや情報漏洩リスクです。

特に各クラウドサービスを利用する際に必要となるパスワードに関しては、
クラウドサービス提供側にもクラウドサービス利用者側にもセキュリティに関する大きな課題があります。

今回は、パスワードに関する課題とパスワードの運用自体が不要になる技術の紹介をいたします。

パスワードの課題(クラウドサービス利用者側)

クラウドサービス利用者側のパスワード運用の課題として、以下の3点が挙げられます。

• パスワードの単純化
• 同じパスワードの使い回し
• パスワード入力の手間

「パスワードの単純化」と「同じパスワードの使い回し」に関しては、よくパスワードの課題として取り上げられます。
クラウドサービスごとに異なる複雑なパスワードを設定し覚えておくことは、
クラウドサービス利用者にとって非常に難しいです。

しかし、かといってパスワードを単純なものにしてしまうと、攻撃者にとっては推測しやすい文字列となり、
不正ログインが容易になってしまいます。

これらの課題への対策としては、クラウドサービスごとに異なる複雑なパスワードを設定することが推奨されています。

しかし、利用者にとっては大きな負担であるため、
利用者がパスワードを単純化したり、同じパスワードを使い回したりしてしまうことは、
セキュリティ的には非常によくないと分かっていながらも、気持ちを共感することができます。
ましてや、DXが進みクラウドファーストが加速していくと、
1人当たりが利用するクラウドサービスの数は増えていくため、将来はより深刻になります。

「パスワード入力の手間」に関しては、特にスマートフォンを利用する利用者の課題となります。

こちらはセキュリティ観点では無いですが、"複雑"なパスワードを利用する場合、
スマートフォンが提供するソフトウェアキーボードだと非常に打ちにくく、クラウドサービスを利用することに関して、
利用者は非常に億劫となってしまうため、結果的に単純なパスワードの利用に繋がってしまいます。

クラウドサービス提供者側は、セキュアにクラウドサービスを継続して利用してもらうために、
このような負担はできる限りなくしておきたいです。

パスワードの課題(クラウドサービス提供側)

一方、クラウドサービス提供側のパスワード運用の課題として、「秘匿情報の管理」が挙げられます。

秘匿情報を保持すると、秘匿情報の資産価値に応じてセキュリティリスクが高くなるため、
クラウドサービス提供者はできるだけ保持する秘匿情報は最小限にしたいです。

特にID/パスワードに関しては、外部に漏れてしまった場合、運営するサービスへの不正アクセスだけではなく、
他社サービスへの不正アクセスにもつながる可能性があるため、被害が大きくなってしまいます。

パスワードを運用し続ける場合、このリスクに関しては逃れることはできません。

実際にインシデントにも・・・

パスワードリスト攻撃によるお客様情報漏洩へ

2019年度に金融企業のスマートフォンアプリに対して、パスワードリスト型攻撃がありました。

パスワードリスト型攻撃は何かしらの手段により入手したID/パスワードを利用して、
同じID/パスワードを利用していないかしらみつぶしに認証してみるという攻撃となります。

この攻撃が成功した場合は、対象のアカウントに不正ログイン出来てしまい、そのお客様の情報が漏えいしてしまいます。
このインシデントでは、攻撃を受けた結果、顧客のID情報約１．５万件が不正侵入を受けた可能性があると発表されました。

この攻撃が成功したのは、クラウドサービスの利用者が同じID/パスワードを流用したことが直接的な原因かもしれませんが、
パスワード認証しか利用できない環境を提供したクラウドサービス提供者側にもカイゼンすべき余地はあります。

WAFの設定ミスから秘匿情報の漏洩へ

2018年度に経営コンサルティングの会社が運営するウェブサイトにて、
WAF（Web Application Firewall）の設定ミスを利用した不正アクセスが行われ、
60万件弱の会員メールアドレスやパスワードが漏えいしています。

本事故の原因はWAFの設定ミスを突いたSQLインジェクションとのことですが、
そもそもパスワードという秘匿情報を保持しておかなければ、
不正アクセスが行われたとしても被害は最小限に出来たと考えます。
漏洩したID/パスワードに関しては、1つ目の事故の攻撃手法であるパスワードリスト攻撃にも利用されてしまいます。

そのような課題を解決できるFIDO認証とは？

パスワードを運用している上で不正アクセス対策は避けては通れない課題ですが、それに対する回答がFIDO認証です。
FIDO認証はパスワード認証と比べてより高セキュリティな、より高ユーザビリティな認証を実現出来ます。

FIDO認証ではパスワードの代わりに、指紋や顔などの生体認証を利用することができるため、
クラウドサービス利用者側の課題であった「パスワードの単純化」「同じパスワードの利用」「パスワード入力の手間」を解消することができます。

また、FIDOは生体認証を利用できますが、生体情報などの秘匿情報をクラウドサービス側で
保存する必要がない仕組みになっていることもクラウドサービス提供側のメリットとなります。

パスワードのような秘匿情報をクラウドサービス側で保存しておく必要がない技術的な詳細は、
後日別のコラムとして公開を予定しておりますので、そちらをご確認下さい。

FIDO認証を用いるとこんなことができる！

高セキュリティかつ高ユーザビリティを実現できるFIDO認証ですが、
環境によってはシングルサインオンを組み合わせることによって、さらに高度なセキュリティやユーザビリティを実現することが可能です。

以下の図はA社が２つのサービスを個別に運用している例です。
エンドユーザは両サービスに対して異なるID/Passwordを利用してログインします。
しかし、ここには本コラムでお話ししたパスワード認証の課題が存在してしまい、
セキュリティ的にもユーザビリティ的にもとても低いです。

しかし、FIDO認証とシングルサインオンを組み合わせると、以下の図のように複雑なパスワードを複数回入力することなく、
ワンタッチで各サービスにログインすることができ、エンドユーザにとっては非常に嬉しい未来を実現することができます。

おわりに

パスワード運用の課題と解決方法であるFIDO認証に関してご説明いたしました。
FIDO認証は、パスワードにとって代わる認証として採用することも、
複数の認証方式を併用する「多要素認証」の1つとして採用することも可能です。

また、パスワード認証を完全に置き換えるのではなく、FIDO認証とパスワード認証のどちらかでログインできるようにしておき、
FIDO認証ではなく認証強度の弱いパスワード認証でログインするときは多要素認証を適用するなど、
運用方法を工夫することでセキュリティとユーザビリティのバランスを最適化させることも可能です。 

当社の製品である「TrustBind」では、お客様の期待に沿う認証環境をご提供できますので、「TrustBind」にぜひご相談ください。