コミュニティ
HPE Blog, Japan
1820270 メンバー
3378 オンライン
109622 解決策
新規ポスト
 
RSS フィードを購読する
|
IceWall_Mktg

パスワード認証はもう古い!新たな認証方式「パスキー」の可能性に迫る

‎10-24-2024 11:26 AM

パスワード認証はもう古い!新たな認証方式「パスキー」の可能性に迫るパスワード認証はもう古い!新たな認証方式「パスキー」の可能性に迫る

 

多くのWebサービスが利用される昨今、従来のパスワード認証に代わる安全かつ効率的な認証方式が求められています。そこで注目を集めているのが「パスキー」です。パスキーは、IDとパスワードに依存しない認証方式であり、生体認証やデバイスなどを活用することで、セキュリティを飛躍的に強化します。今回は、パスキーのニーズが高まる背景や有用性、仕組みなどについて解説します。

 

 

パスワード認証が限界を迎えている理由

ビジネスシーンやプライベートにおいてWebサービスの活用は欠かせないものになりました。こうしたWebサービスを安全に利用するためのカギとなるのが「認証」です。これまではIDとパスワードによる認証がスタンダードとされてきましたが、近年ではIDとパスワードによる認証には多くのリスクがあると指摘されています。

ビジネスではグループウェアやストレージサービス、日常生活でも金融機関のアプリや動画のサブスクなど、私たちは多くのWebサービスの認証に用いるパスワードを管理しなければなりません。そのため、パスワード管理が煩雑になり、同じパスワードを複数のサービスにて用いる「使いまわし」が発生しがちです。

短くてシンプルなパスワードであれば覚えやすいかもしれませんが、第三者から容易に推測されてしまうリスクがあります。長く複雑なパスワードを設定しても、メモに記録してしまうと盗難や盗み見のリスクが高まります。もしIDとパスワードが漏えいした場合、第三者による「なりすまし」が可能になります。

フィッシングサイトへの誘導によってIDとパスワードを窃取される事件が多発している点も、この認証方式の問題といえるでしょう。

 

パスワードに代わる新しい認証方式「パスキー」とは

前述した問題を解決する方法として、パスキーが注目されています。パスキーとは、パスワードに代わる新しい認証方式であり、パスワードではなく指紋や顔(生体情報)、PINなどを用いて認証を行います。

ユーザーは複雑なパスワードを覚えることなく、安全性を飛躍的に高めることが可能です。また、フィッシング詐欺の被害を受けるリスクも大幅に低減されます。

わかりやすいところでは、BtoCWebサービスを中心に、多くの企業でパスキーによる認証がすでに導入されています。皆さんの中にも、SNSやフリマアプリ、ECなどのWebサービスを利用する際に、指紋などの生体情報を利用してサインインを行った経験がある人もいるでしょう。次の図がパスキー認証による操作イメージの一例です。

pic01.png

パスキーを利用する際は、認証器とサーバー間で、その場限りの合言葉となる「カギ」を暗号化した上で交換し、認証を行っています。スマートフォンからWebサービスにアクセスする場合、ユーザーはスマートフォンのロックを解除するだけで、パスワードを使うことなく認証を完了できます。

さらに、登録されたパスキーはクラウド上にバックアップされ、複数のデバイスで同期することが可能です。機種変更や新しい端末が増えた場合も、パスキー認証を継続できる仕組みが用意されているため、パスキーを再度登録する必要はありません。

pic02.png

 

また、PCからWebサービスにアクセスして認証を行う際に、スマートフォンなどを認証器として使用することが可能です。この方法なら、生体認証の機能をサポートしていないデバイスや一時的に使用する公共施設のデバイスなどからも、パスキー認証が可能となります。

pic03.png

Webサービスにパスキーを利用するメリットは多数あります。ユーザー側にはログイン操作の手間と時間を削減できたり、フィッシング被害を回避できたりするメリットがあります。企業側は、パスワードを紛失したユーザーからの問い合わせ対応を削減できるなどのメリットを享受できます。

昨今では、社内業務で扱うWebサービスの認証にもパスキーを採用する企業が増えています。認証情報の管理の効率化や柔軟なセキュリティ対策の実現、デジタルトランスフォーメーション(DX)の推進が可能など、社内業務においてもパスキーを用いるメリットは少なくありません。

 

「パスキー」導入の新たな一歩を支援するHPE

現代のビジネスシーンではクラウド化推進により、多くのWebサービスが利用されており、従業員は多数のIDとパスワードを管理しています。このような状況下では、冒頭で示したようなセキュリティリスクが高まってしまいます。こうしたリスクを軽減できるパスキーは、今後よりスタンダードな認証方式となっていくでしょう。

実際に、GoogleAppleなどの企業も、FIDOFast Identity Online)アライアンスの規格に基づいた認証方式としてパスキーを採用し、セキュリティ強化と利便性向上の両立を図っています。

HPEは、パスキーを実現するFIDOアライアンスの認定を取得済み(最新の「FIDO2」規格)であり、ユーザー企業がパスキーを安心して導入できるHPE IceWallを提供しています。認証に関するご相談はぜひお気軽にHPEにお寄せください。

 

ご参考:

コラム:氷壁エキスパートノート - 「パスキー」導入によって、企業やユーザーが得られるメリットとは?

パスワードに頼らない最新のオンライン認証「パスキー」とは?これからの認証スタンダード(動画)

 

0 感謝
作者について

IceWall_Mktg

コラム:氷壁エキスパートノート |  HPEの認証・認可プラットフォーム「HPE IceWall」を開発するIceWallビジネス推進部が、認証にまつわる新常識を発信します。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
shingoyamanaka Avatar
shingoyamanaka
1
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります