現実味を帯びてきたパスワードレス認証

ID/パスワード認証はすでに危険な方式となっています

昨今、クラウドシステムでの情報漏えいが多発しています。

情報漏えいには様々な過程がありますが、2019年にMicrosoft社のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)が「Hackers don’t break in, they log in.(ハッカーは侵入せず、ログインします)」という発言をされているように、近年、認証情報が外部に漏れることによって漏えいが発生するケースが増えています。

特に多く発生しているのが、クラウドシステムでID/パスワードを用いた認証を許容しているケースです。 ID/パスワードを利用して認証を行う場合、その仕組み上、ID/パスワードの組み合わせが他者に知られてしまうと、簡単になりすますことができてしまいます。

正常なIDのやり取りではID/パスワードをクラウド側に示して認証を行う
ID/パスワードが漏洩した場合は簡単にアクセスできてしまう

主にオンプレミスシステムを利用していた時代は、ID/パスワードが奪取されてもそのシステムにたどり着くことが容易ではなかったため、大きな事故は起きにくい状況でした。 しかし、クラウドの利用が興隆している現在、システムへの到達は容易となりました。これまで一般的に利用されてきたID/パスワードを用いた認証は脆弱といわれるほどに問題になってきているのです。

Microsoft Authenticator を活用した認証で安全に

Microsoft社は、格段に普及が進んだスマートフォンを活用した認証方式を提供しています。スマートフォンにMicrosoft Authenticatorアプリをインストールし、IDを登録することで、パスワードの代わりに認証を行う方式です。 この方式によって、悪意あるアクセスが発生した場合でも認証を拒否することができるのです。

Microsoft Authenticator で認証を行う安全なアクセス
悪意あるアクセスは Microsoft Authenticatorによって認証を拒否できる

Microsoft Authenticator を利用した場合でも実はパスワードも使えていた

安全性が高いMicrosoft Authenticator を利用した認証ですが、実際には弱点があります。
それは、Microsoft Authenticator が利用できない場合に備えて、ID/パスワードを利用した認証方式も利用できるようになっていることです。
Microsoft Authenticatorによってパスワードを利用するケースは大幅に減少しますが、実際の認証強度はID/パスワード利用時とさほど変わらないものになっているのです。

Microsoft Authenticator 利用時でもパスワード認証が利用可能

それでは、実際の動作を見てみましょう。下図のように サインイン時にはMicrosoft Authenticator を利用する方法とパスワードを利用する方法を選択できます。

これまでのパスワード漏洩事故の大半は、パスワードの使いまわしと、誕生日などのロジカルに推測可能なパスワードの利用が原因でした。パスワードを利用する場合は、パスワードの使いまわしをやめ、複雑で漏洩しにくいパスワードを設定することが唯一の防衛策です。

サインイン時にはMicrosoft Authenticatorアプリ使用かパスワード使用を選択できる

パスワードレス化が新たな防衛策として登場しました

ID/パスワード利用では対処療法のような防衛策しかありませんでしたが、2021年9月にMicrosoft社から新たな防衛策として、パスワードをなくしてしまう「パスワードレス」という方式がMicrosoft アカウントに対し追加されました。 この機能を有効化することで、パスワードを利用したサインインを完全に防ぐことが可能になります。パスワードの漏洩がありえなくなるため、画期的な機能追加といえるでしょう。Microsoft アカウントのセキュリティ設定でMicrosoft AuthenticatorアプリとMicrosoft アカウントを紐づけすればすぐに利用できます。

セキュリティ設定はこちら

ボタン一つでパスワードレスを設定できる
パスワードレスを有効化するとパスワードによるサインインは不可になる

おわりに

この新たな防衛策はパブリッククラウド向けの「Microsoft アカウント」に対応したものとなっています。Microsoft 365などで利用する「組織のアカウント」にも同様の機能が存在しています。昨今多発している組織でのアカウント漏洩を起因とする情報漏えいには、「組織のアカウント」に同様の対処を行うことが回避策の一つとなります。 富士ソフトは、IDセキュリティを強化するためのアセスメントを行っています。ぜひお問い合わせください。

三沢 友治
三沢 友治(Tomoharu Misawa)
金融事業本部 デジタルソリューション部
MSテック企画グループ
課長 / フェロー

この記事を読んだ人はこちらの記事も読んでいます。
技術者の“特許権”について考える
column
この2019年の4月1日からNHKで始まった「逆転人生」という新番組。偶然、初回放送を観ました。ジリ貧の人生の時期があっても諦めずにもがき、...