脱パスワードなログイン方法とは?手間とセキュリティをどうバランスするか

 2023.08.09  クラウドセキュリティチャネル

業務で利用するサービスには必ずログインという行為が必要になります。不正ログイン対策などのセキュリティの観点や、ログインの簡便さなどのユーザーの手間を減らす観点から様々なログイン方法が開発され、実装されています。

昨今ではクラウドサービスの普及により、業務で利用するサービスの数も増えています。加えて、テレワークが一般的になってきた昨今、職場以外の環境でもサービスにログインする機会も増えていることから、セキュリティリスクについても改めて考慮が必要になっております。

このような状況を踏まえて、様々なログイン方法のメリットやデメリットを紹介しつつ、現在最も求められているログイン方法について考察していきます。

ログイン方法の種類について

利用されることが多いログイン方法についてそれぞれの特徴を紹介していきます。

ID・パスワード

多くのサービスで最も一般的なログイン方法と考えられています。IDとパスワードの2種類を入力し、それが合致していたらログインできる、という方法です。「本人だけがID・パスワードを知っている」という前提の元に、長年ログイン方法の主流でした。ただし、パスワードを付箋に書いて、誰もが見える場所に貼っておく、という管理の杜撰なユーザーが原因で、不正ログインが起こるという事件が報じられるなど、ユーザーリテラシーに依存してしまう点や、セキュリティリスクを減らすためにユーザーに一定期間ごとにパスワードの変更を課している一方で、パスワード管理におけるユーザーの手間についても問題視され始めています。

ワンタイムパスワード

ID・パスワードだけのログインですと、不正ログインのリスクが高まります。そこで、それ以外にもログインを通す条件を増やすことを「多段階認証」や「多要素認証」と呼びます。ワンタイムパスワードは「多段階認証」のひとつとされており、文字通り一回きり使えるパスワードです。ワンタイムパスワードは管理者が発行し、ユーザーに伝える方法もありますが、最近では、ワンタイムパスワードを自動発行するアプリをユーザーにインストールしてもらい、そこでワンタイムパスワードを確認する方法も一般的になってきました。個人向けインターネットバンキングのログインで利用されることも多いため、一般的な知名度も高いログイン方法です。

PIN番号

PINはPersonal Identification Numberの略称となります。サービスのログインに利用されるというよりはスマートフォンなどの端末のロックを解除する際に利用されます。PIN番号は4桁~6桁で設定されることが多く、スマートフォンの設定によってPIN番号なしでも端末ロックの解除ができますが、業務端末として支給したスマートフォンについてはPIN番号を設定を強制にしている企業が少なくありません。

SMS/Email認証

同じく多要素認証として利用されるのは、SMSやEmailを経由して認証コードを送付する認証方法です。Amazonなどの通販サービスや各種決裁サービスなどで利用されることが多く、一般的に認知度が高い認証方式です。

ソーシャルログイン

LINEやfacebook、Twitterなど多くの方がソーシャル・ネットワーキング・サービス(SNS)を利用しています。ソーシャルログインとは、これらのSNSのアカウント情報を利用して、簡単にログインができる方法のことをいいます。ユーザー情報の入力が連携元のSNSプロバイダーから引き継がれるなどのメリットもありますが、BtoB向けのサービスのような業務で利用するサービスで採用されることが少なく、どちらかというとBtoC向けのサービスでこの方式が活用されるケースが多いです。

勢いで決めてはいけない!自社にあった認証・許可の仕組みIDaaSの選定ポイントをご紹介

デバイス証明書

デバイス証明書のログイン制御は、前提としてPCやスマートフォンなどのデバイスに対して電子証明書をインストールをさせます。サービスへのログインの際に証明書を持った端末からは認証を通す、証明書を持っていない端末はログインは通さない、という制御が可能です。

USBトークン

USBという物理デバイスがあって初めてログインが可能になるというものです。ログインに必要なUSBトークンは本人だけが持っている、という前提から不正ログインを防ぐ目的ですが、物理デバイスの紛失等のリスクもあることから完璧なログイン方法とは言えないものとなっています。

生体認証

生体認証(FIDOなど)は、指紋や静脈、顔などの人ごとに異なる身体の一部要素をとした認証方法です。生体にあたる要素は人ごとに異なるため、個人を詐称されることが極めて少ない、不正ログインのリスクが少ない認証方法と言えます。生体を確認する手段についてはデバイスに依存する形となります。最近では、PCのカメラで顔認識ができ、認証を通すことができますが、指紋や静脈などはPCそのものでは読み取る方法がないため、別途外付けデバイスを用意する必要があることもあります。会社支給の端末で利用しようとする場合には、PCやOSのスペックなどに依存して利用できないケースもあるため、十分なスペックを確保したデバイスを用意するなどのコストとのバランスを考える必要がありそうです。

運用管理やユーザーの手間について

それぞれのログイン方法について見てきましたが、情報システム部としての運用管理の簡便さや、ユーザー自身のログインの手間、それに加えてセキュリティとして不正ログインをどれだけ防ぐことができるか、という様々な判断基準があるかと思います。十分なセキュリティレベルを確保しつつ、ユーザーに負担はかけたくない、というのがシステム担当者の本音ですし、目指すべき理想の運用かと思います。運用やセキュリティの課題、技術の進歩を経て様々なログイン手法が確立されてきましたが、今現在、そして近い将来ではどのようなログイン方法が理想とされているのでしょうか。

新しい「脱パスワード」という考え方

ログイン方法を考える際に第一に考える必要がある点は「不正ログイン」を減らすことです。そのためには、パスワードの漏洩を防ぐことが大切となります。漏洩を防ぐためにはワンタイムパスワードやSMS/Emailでのパスワード送付など、本人しか認識しえない(認識されえない)情報をログインの条件としてきましたが、そもそもパスワードを入れるということ自体をなくす、という発想も一般的になってきました。一言で表すならば「脱パスワード」という形でログインを実施する形です。今回、紹介したログイン方法のなかでは、デバイス証明書の利用が多いようです。デバイス証明書が端末にインストールされている、という条件を元にログインを許可するものなので、パスワードを設定する、覚える、という必要がそもそもありません。

まとめ

ログイン方法は数多くありますが、セキュリティレベルと運用の手軽さの観点でそれぞれメリット・デメリットがあるかと思います。そのなかで、情報漏洩の可能性を減らしつつ、ユーザーの負担が少ない「脱パスワード」という考え方が広まってきました。

HENNGE OneではID・パスワードを入れてログインさせる一般的なログインも可能です。定期的にパスワードを変更させる運用も可能ですので、パスワードが流出した際のリスクを減らす運用も可能です。一方で、「脱パスワード」の形でデバイス証明書を利用したアクセス制御も可能ですので、不正ログインのリスクを減らしつつ、ユーザーや管理者にも負担の少ないログインが可能です。複数のクラウドサービスを利用する場合、サービスの数だけパスワードを管理する必要がありますが、HENNGE Oneはシングルサインオンの機能もありますので、ログインを一元化することができます。ログインの手間を減らし、パスワードが漏洩するリスクも減らすことが可能です。クラウドサービスを利用するにあたって、セキュリティと利便性のバランスがとれたHENNGE Oneを利用してみてはいかがでしょうか。

勢いで決めてはいけないこれからの IDaaS 選定ポイント

RECENT POST「ID管理」の最新記事


ID管理

Oktaとは何がすごい? 次世代のIDaaSソリューション

ID管理

不正アクセスの可能性を調査するダークウェブサーベイキャンペーンとは?

ID管理

Microsoft Entra ID(旧:Azure AD)とオンプレミスActive Directoryとの違いは?導入のメリットを解説

ID管理

アクセス制御とは? なぜ必要? 機能や方式・種類など基本から解説!

脱パスワードなログイン方法とは?手間とセキュリティをどうバランスするか

RECENT POST 最新記事

CTA

RANKING人気記事ランキング