企業がサイバー攻撃を受けたり情報漏洩が発生する背後には、ユーザーID/パスワードの不正流出があります。その解消策として、パスワードレス・ソリューションへの注目が高まっており、アイテグループでもこの動向を「Aite Matrix: Passwordless Authenitcation」にまとめました。
■ サイバーセキュリティ強化とパスワード
社員が社内システムを利用する際には、ユーザーIDとパスワードによる認証が一般的だ。ただ、パスワードの管理は社員に任されており、セキュリティ強化のために桁数を増やしたり定期的な更新を義務付けることで社員の負担を増やしている。結果、パスワードの使いまわしが増えてリスクが増大したり、パスワードの再設定などに対応するサポート体制も必要となる。一方犯罪者は、社員にフィッシングを仕掛け、ログイン情報を入手しようとしている。
このような中、コロナ・パンデミック下では、多くの企業が社員の在宅勤務を余儀なくされた。ネットワーク・セキュリティが脆弱な在宅環境から社内システムにアクセスせざるを得ず、企業は、パスワード漏洩リスクを今まで以上に認識するようになった。
■ Passwordless認証
パスワードの桁数や定期更新に替わるセキュリティ強化策として、「シングル・サインオン(SSO)」や「多要素認証(MFA)」の採用も進んできたが、昨今、これらに加えてパスワードレス認証ソリューションが注目されている。例えば、SSOにMFAを組み合わせ、MFAの第二要素にスマホの指紋認証など生体を活用すればパスワードレス認証となる。
パスワードレスの利点は、ユーザー(社員)がパスワードの管理から開放されエクスペリエンス向上につながることに加え、ネットワーク上は公開鍵(PKI)が送付されるだけなのでID/パスワードが露出するリスクが下がる。またホスト側で照合用のパスワードを保持/管理する必要がなくなる利点もある(FIDO標準規格に基づく場合)。
■ パスワードレスが普及する足音
アイテグループでは、2021年初にパスワードレス・ソリューション・ベンダー8社とそのユーザー企業にヒアリングを行った。8社の顧客数合計は、グローバルで約7500社である。パスワードレスを単独ソリューションとして提供する企業もあれば、PKIやMFAソリューションの拡張機能として提供しているベンダーもあるため、パスワードレスだけの市場規模の推定は難しいが、アイテグループでは、現在おおよそ2億ドル規模、2023年には15億ドル規模に拡大する可能性もあると推計している。
パスワードレス認証はまだ登場したばかりの技術で、ユーザー企業といえどもパイロット利用や部分導入が多い。レガシー・システムとのインテグレーションには時間がかかるケースもあり、ユーザー(社員)に対するトレーニングや移行準備も必要となる。認証手段としてパスワードレスが普及するのかどうか、今後の動向に注目しておきたい。
Add new comment