サイバーセキュリティーが経営課題となり、サイバー被害が企業経営や組織運営にブレーキをかける時代になった。そうしたなかで取り入れるべき3つ目のセキュリティーの新常識は「認証のパスワードをやめる」である。

 実態として、日本の企業や組織に所属する4人に3人がパスワードを使い回している。ログイン情報が漏洩すれば不正侵入のリスクが一気に高まるが、システムごとに別々かつ複雑なパスワードを設定するように徹底させるのは難しい。できないことを無理強いする慣習をやめ、「認証といえばパスワード」という常識こそ見直すべきだ。

 事実、幾つものクラウドサービスを使いこなす企業では、パスワードを原則的にやめる動きが相次いでいる。UI(ユーザーインターフェース)のデザインやコンサルティングを手掛けるグッドパッチの取り組みが参考になる。

 同社は新型コロナウイルス禍以前から場所を問わない働き方を志向してきた。東京都渋谷区の本社に出社するのではなく、地方に住んで同社で働く従業員が何人もいる。オフィス以外の場所でも働きやすくするため、50以上のクラウドサービスを契約し、従業員は担当業務に応じてそれらを使い分けている。

 ただ、それぞれのクラウドにIDとパスワードを設定していては管理し切れない。単純なパスワードを設定したりパスワードを使い回したりする従業員が出てきてもおかしくなく、不正アクセス被害のリスクが高まる。

 そこで同社は2020年9月に、認証システムのクラウドであるIDaaS(アイデンティティー・アズ・ア・サービス)の大手、米Okta(オクタ)のサービスを導入した。原則としてパスワードを使わずに各種クラウドへの認証が済む仕組みを整えた。

 具体的な認証はこうだ。各種クラウドを使う際、まず従業員はOktaのサービスにアクセスしてユーザーIDのみでログインする。すると、Oktaの認証システムは従業員のスマートフォンの認証用アプリに通知を送る。

スマートフォンを活用するパスワードレスの認証システム
スマートフォンを活用するパスワードレスの認証システム
(出所:グッドパッチ)
[画像のクリックで拡大表示]

 通知を受け取った従業員はスマホの生体認証機能を使って、確かにOktaへのログインが自分のものであると承認する。ここで初めてOktaへのログインが完了し、Oktaのポータル画面を通じて各社のクラウドをログインなしで使えるようになる。各社へのログインが不要な理由は、OktaのIDaaSと他社の各種クラウドはSAML(セキュリティー・アサーション・マークアップ・ランゲージ)と呼ばれる認証連携の仕組みでつながっているからだ。

 このようにグッドパッチは、スマホの生体認証と、認証用アプリを保有しているという2つの要素で、パスワードを入力させることなく認証している。Oktaへのログイン時にパスワードを求めるシーンは「日本にいるはずの従業員が海外から接続を試みた」など、リスクが高いと判断された場合の追加措置としてだけだ。グッドパッチのシステム担当である遠藤祐介氏は、「漏洩リスクがつきまとうパスワードをなくしたほうがセキュリティー水準を上げられる」と話す。

 「パスワードレス」を原則とする運用に切り替えて1年あまり経過したが、大きな問題は発生していない。パスワードの入力や管理の煩わしさから解放されたとして従業員からも好評という。遠藤氏も「セキュリティーの管理がシンプルになった」と手応えを感じている。

日本企業の7%がパスワードレス認証を採用

 パスワードの利用をやめたのはグッドパッチだけではない。auカブコム証券は米Microsoft(マイクロソフト)の、金融アドバイザーのファイナンシャルスタンダードはインターナショナルシステムリサーチ(ISR)のIDaaSをそれぞれ2021年に採用し、パスワードレス認証を原則とした。

 ISRによれば、同社のサービスを利用するユーザー企業の約1割に相当する150社がパスワードレス認証を選んでいるという。Oktaが2021年3~5月に実施した調査では、日本企業の7%がパスワードレス認証を採用している。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。