パスキー認証がテレワーク社会のニュースタンダードに

従来のパスワード認証からパスキー認証が推奨されるようになった背景には、テレワークの拡大によって、パスワード認証の問題点が顕在化したことが挙げられます。

今回取り上げるパスワード認証の問題点は以下の4つです。

1. テレワークの普及により社内ネットワークの制限が難しくなった
2. パスワード管理の負担増大
3. フィッシング詐欺のリスク
4. パスワード変更の業務が増加

パスワード認証を使用している場合は、これらのリスクがあることを理解しておきましょう。

1.テレワークの普及により社内ネットワークの制限が難しくなった

まず、テレワークの普及により社内ネットワークの制限が難しくなったことが挙げられます。企業が物理的なオフィスから離れて働くことで、従来の社内ネットワークの保護を維持することが困難になりました。

なぜなら、在宅勤務者は自宅や公共のWi-Fiネットワークから企業のシステムにアクセスするため、そのデータはさまざまな不安定なネットワークを通過するからです。

さらに、VPNなどの遠隔アクセスソリューションは、速度が遅い、接続が煩雑、ユーザー数の拡大に対応できないなどの問題があります。このような課題を解決するには、企業側に時間とコストがかかります。

2.パスワード管理の負担増大

2つめにあげられるのはパスワード管理の負担が急増したことです。近年の急速なインターネット関連の発展により、パスワードを必要とするWebサービスの利用が一般的になりました。さらに新型コロナウイルスの影響で、テレワーク・リモートワークの導入が推進されたことにより、労働者・事業者ともに管理すべきパスワードが膨大な量になってしまいました。

無くしてしまうと業務を行えなくなるため、どこかに保存しなければいけませんが、第三者に見られる危険性を想定するとわかりやすい所に書いておくわけにもいきません。

パスワード認証は、ユーザーが忘れないことと外部に漏れないことが前提になっているため、前提が崩れると非常に脆くなってしまいます。

3.フィッシング詐欺のリスク

3つめはフィッシング詐欺のリスクがあることです。フィッシング詐欺とは、ウィルスを含んだメールを標的に送信し、メール内のリンクを展開させることで、パスワードや個人情報を引き抜くことです。

パスワード認証を行っているシステムのパスワードが悪意のある第三者に渡ってしまうと、大変危険な状況に陥ってしまいます。最悪の場合、口座の不正利用やクレジットカードの悪用・顧客情報の外部流失といった甚大な被害が出てしまいます。

怪しいメールやリンクは展開しないのが鉄則ですが、パスワード認証を行っている限り、常にパスワードを手に入れようとする攻撃に晒されることを忘れないようにしましょう。

4.パスワード変更の業務が増加

4つめはパスワード変更の業務が増加し、担当者の負担が急増していることです。パスワード認証を採用しながら高いセキュリティ体制を維持し続けるためには、定期的なパスワード変更が必要になります。

管理するパスワード数が少ないうちは、パスワード変更も大きな負担にはなりません。しかし労働者の端末・クラウドサービス・各種サービスへのログインなどパスワードが増え続けている中、パスワード変更は多くの時間と労力を必要とする業務になります。

変更後のパスワード管理まで考えると、業務の片手間でできるようなことではありません。パスワード管理も含め、どのようにセキュリティ体制を維持していくのかは企業にとって大きな課題になるでしょう。

パスキー認証がテレワーク時の安全性と担当者の業務負担軽減につながる理由は以下の2つです。

1. 生体認証を用いる
2. SSOを利用できる

なぜパスキー認証の導入が勧められているのか、仕組みから理解していきましょう。

1.生体認証を用いる

パスキー認証が安全性の高いテレワーク時のセキュリティ対策として期待されている1つの要素に、生体認証を用いている点があります。

指紋や顔・虹彩といった生体情報はパスワードのように簡単に悪用できるものではありません。万が一端末を紛失してしまっても、第三者が端末のロックを解除することはできないでしょう。また、生体情報が認証のキーになっているため、パスワードのように漏洩するということがありません。

パスキー認証で使用する情報がインターネット上に公開されることはなく、端末のみで完結します。テレワーク時のセキュリティ性をより高いものにしたい場合、パスキー認証はパスワード認証よりも信頼できる仕組みとなっています。

2.SSOを利用できる

SSO（シングルサインオン：Single Sign-On）とは、一つのユーザー認証システムで複数のサービスへのログインを可能とする機能です。多くの場合、1サービスごとに1つ認証システムを使います。パスワード認証の場合、利用するサービスが増えれば増えるほど、覚えなくてはいけないものも増え、ユーザーの負担になっていました。

パスワードを必要としないパスキー認証では、SSOも同時に利用することができます。パスキー認証とSSOを掛け合わせることでユーザーは1つの生体情報でいくつものサービスにログインすることが可能になります。テレワーク時のユーザーの利便性が上がると同時に、管理側も扱う情報の数を減らすことが出来るので双方にメリットが生まれます。

社会情勢の大きな変化を受け、テレワーク・リモートワークが浸透し始めた中で、パスワード認証は高いセキュリティ性を保つための最善策とはいえなくなってしまいました。

AppleとGoogleという世界的に知名度のある企業が最新の認証方法としてパスキー認証を採用したことにより、今後パスキー認証の導入が広まっていくと考えられます。すぐに切り替えることは困難ですが、パスキー認証がどのような仕組みなのかを理解し、来たるべきタイミングでスムーズに切り替えることができるよう今から準備しておきましょう。