パスワード地獄から脱却しよう ユーザーと情シスの負担を低減する代替策:“面倒くささ”こそが最大の敵
パスワードによる認証は広く普及しているものの、利便性の観点からユーザーと情シスに負担がかかっている。これを脱却するには人間の根本に潜む“面倒くささ”をいかに解消するかが重要だ。本稿で適切な代替手段を紹介する。
PCへのログインに始まり、電子メールやグループウェアを確認したりクラウドサービスにアクセスしたり、勤怠情報を入力したりと、私たちは1日の業務で多数のパスワードを入力している。
業務を実施する上でパスワードの入力は必要不可欠だが、増え過ぎたパスワードの管理はユーザーと情報システム部門の双方に負担を強いている。本稿は、パスワードによる認証が利便性の観点からどのように限界を迎えているかを解説しつつ、代替手段を提示する。
「業務をする上で地味に負担」 ユーザーを苦しめるパスワード問題
パスワード認証はさまざまなシステムで使われている。セキュリティ対策としては、総当たり攻撃やパスワード推測による不正アクセスのリスクを減らすため、英数字や記号を含めた長く複雑なパスワードを個別に設定することが推奨されている。
だが、このような運用はユーザーに大きな負荷がかかり、課題も生まれている。課題の一つはパスワードを「覚えられない」というものだ。
KDDIデジタルセキュリティの大越健司氏KDDIデジタルセキュリティの大越健司氏(CROSS本部 副本部長)は「当社の調査によると、クラウドサービスの利用が進んだ結果、1人当たりが管理するパスワードは20〜50種類に上っています。これだけのパスワードを、システムやサービスごとに異なるポリシーに合わせて設定し、かつ覚えておかなければならないというのは、ユーザーにとって大きな負担です」と指摘する。
実際これらのパスワードを暗記できないケースは珍しくない。同調査によると、回答者の4割がPCの中にパスワードリストを保存しており、2割はスマートフォンなどPC以外のデバイスに記録している。
「調査の結果、回答者の約10%がいまだにノートや手帳にパスワードをメモしていました。このような傾向は特に経営層など年配のユーザーほど強いという印象です」
もう一つの課題は「パスワードの使い回し」だ。かつてはパスワードが流出した際の被害を軽減できるという理由からパスワードの「定期変更」が推奨されてきた。しかし複雑なパスワードを定期的に変更させる手間をユーザーに強いた結果、今度は使い回しが発生しているという。
「同一のパスワードを使い続けることはなくても、似たようなパスワードを幾つか作って使い回した経験がある人は多いのではないでしょうか。当社の調査でも2〜3個のパスワードを使い回しているユーザーが3割、5〜6個で使い回しているユーザーは約半数を占めました」
「もう勘弁してくれ」 パスワード問い合わせ地獄が情シスの負担に
パスワードの数が増えるにつれて情シスにも高い負荷がかかっている。
大越氏は「情シスはできるだけ強固なパスワードを設定させたいと考えますが、あまりにポリシーを厳しくして締め付け過ぎると、使い回しが発生したり『パスワードを忘れました』という問い合わせが増えたりします。情シスは常にこのジレンマに悩んでいます」と話す。
長期休暇明けはもちろん、パスワードを更新した翌日に問い合わせが増える傾向もあるという。
「更新したその日は普通に使えても、翌日になると新しく設定したパスワードが分からなくなって問い合わせてくるユーザーが多いと聞きます」
こうなると情シスは大変だ。パスワードを自動でリセットできる機能を備えたSaaSやシステムを導入していればいいが、それには相応のコストがかかる。人手をかけてリセットしたりロックを解除したりしていたら、その対応に忙殺されてしまう。
大越氏は「パスワードリセットに対応しなければ従業員の仕事が止まってしまうため、どうしても優先せざるを得ません。しかしそうなると、今度は情シスの仕事が止まってしまいます」と語る。一件一件は小さな手間でも、積み重なることによって“地味”に大きな負担になっているのが実態だ。
パスワードからの卒業を後押しする「ぱすとり」
この十数年、パスワード以外の認証方式も試行錯誤されてきた。外付けデバイスを組み合わせた生体認証、専用トークンによるワンタイムパスワード、マトリックス認証の他、ショートメッセージサービス(SMS)による多段階認証を使うケースも増えている。
しかし、いずれもユーザーに何らかの「手間」を強いるという点で大きな違いはない。「これらの中でもSMSでの認証は手軽といわれていますが、スマートフォンのロックを解除して画面を見て数字を記憶し、手元のPCに入力する……という具合で工程が多過ぎます。私と同じように面倒だと感じている人は多いのではないでしょうか。パスワード認証をやめるためには、ユーザーが面倒だと感じない仕組みを整えることが重要です」
そんな中で登場したのが、FIDOアライアンスが標準化した「FIDO2」や「パスキー」といったパスワードレス認証規格だ。指紋や顔などの生体認証情報を複数のデバイス間で安全に共有することで、パスワード不要でよりセキュアに認証できる。
パスキーが浸透し始めたのは、スマートフォンを利用したB2Cサービスの領域だった。そして日常生活の中で、指紋や顔認証で簡単にログインできることを体感する機会が増えるにつれ、「会社のシステムでも同じようにできないのだろうか?」という声が高まった。
KDDIデジタルセキュリティのパスワードレス認証サービス「ぱすとり」は、まさにこうした声に応えるものだ。スマートフォンと連携することで、PCやSaaSをはじめとしたシステムにパスワードレスでログインできる。
ぱすとりは、米国のセキュリティ企業Secret Double Octopusが開発したソフトウェアをベースに、KDDIデジタルセキュリティが構築・運用している基盤を通して提供するサービスだ。PCと「認証器」となるスマートフォンに専用ソフトをインストールすれば、パスワードレス認証ができる。
「普段使っているスマートフォンが鍵代わりになるため、手順を覚えておいたり番号を手入力したりする必要はありません。指紋認証や顔認証といった、日々のロック解除と同じ慣れた方法でログインできます」
ユーザーは長いパスワードを幾つも作って覚えておくといった負担がなくなり、管理者は問い合わせ対応業務から解放される。ぱすとりのインフラ設備はKDDIデジタルセキュリティが運用するため、運用負担が少ないことも情シスにとってはメリットだろう。
ぱすとりのもう一つの特徴は、幅広い環境で利用できることだ。
パスワードレス認証はSAMLに対応したクラウドサービスでの利用が進んでいる。ぱすとりはそれらのサポートはもちろん、PCへのログインやロック解除にも利用できる。「Windows」だけでなく「macOS」「Linux」「ChromeOS」など、幅広いOSに対応している。
「2つのハードウェアがそろわなければロックを解除できないため、PCだけ盗まれても、あるいはスマートフォンだけが盗まれても、盗んだ人は何もできません」
ぱすとりは、インターネットに接続できない状況でも問題なく認証できる。認証に要する2つのハードウェアをBluetoothで接続するためだ。オンプレミスで長く使われてきたRADIUSやLDAPといった認証プロトコルにも対応しており、無線LANルーターやVPN接続時の認証にも適用可能だ。
ひとたび体験したらもう戻れない? パスワードを意識しない世界へ
認証はあらゆるシステムに必要な基盤なのでトラブルは避けたい。KDDIデジタルセキュリティは、ぱすとりを1カ月間無償で利用できるPoCライセンスを提供しており、事前に設定手順や接続を確認した上で導入が可能だ。「Microsoft 365」や「Google Workspace」といった主要なSaaSについては、SAML設定に関するドキュメントを用意し、容易に導入できるサポートを提供する。
KDDIデジタルセキュリティ自身も、PCログイン時の認証にぱすとりを利用しているという。「PCを立ち上げエンターキーを押すとスマートフォンに通知が飛んできて、指紋などでロックを解除するだけですぐにログインできます。『一度使ったらもう戻れない、前のやり方には戻さないでほしい』と従業員から声が上がるほど好評です」
ぱすとりでPCにログインするときのイメージ機能追加で利便性がさらに高まる
KDDIデジタルセキュリティは、SAMLなどのプロトコルが生まれるずっと前に構築されたレガシーなシステムに同じ操作体系でパスワードを代理入力する機能を追加予定だ。
「IDとパスワードで認証するシステム全てがなくなるまでには、まだ時間がかかるでしょう。しかし、裏側でパスワードを代理で送信する機能をぱすとりに追加することで、システムやプロトコルを利用者が気にせず同一のユーザーインタフェースであらゆるシステムにログインできるようにすることで、利便性をさらに高めたいと考えています」
ぱすとりのパスワードレス認証によって、これまで強いられてきた「パスワードは面倒だけれど仕方ない」という我慢をする必要がなくなるかもしれない。
弱点だらけの「パスワード」、まだ使い続けますか? 楽で強固な代替手段を解説Copyright © ITmedia, Inc. All Rights Reserved.
提供:KDDIデジタルセキュリティ株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2025年3月5日
ITmediaはアイティメディア株式会社の登録商標です。