パスワードよ、さようなら。パスワードレスのメリットとは？

「パスワードレス」という言葉を耳にすることが増えました。便利で良さそうな印象もありますよね。でも具体的なイメージが湧かなかったり、時期尚早ではと思っていたりしませんか？

今回の記事では、パスワードレスとはいったいどういうものかを、メリットとともに説明します。

パスワードレスって、実際はどんな感じなの？

パスワードレスを実現する方法はいくつかあります。パスワードレスがどういった動きか、Okta Workforce Identity Cloudによるデモ動画をご覧ください。

Okta Verify Pushによるサインイン

Okta社が提供する「Okta Verify」というアプリを、スマートフォンにインストールして利用するパターンです。

（動画時間：約30秒）

見終わってみると、意外とあっけない感じがしませんでしたか？

まずメールアドレスを指定した後、次の画面に遷移します。すると「プッシュ通知を受け取る」という画面が表示されます。スマートフォンにて通知を受け取り、「サインインしようとしましたか？」の画面で"はい、私です"をタップすると、指紋による本人確認が行われます。そしてOktaのEnd-User Dashboardに対するサインインが完了します。

Windows Helloによるサインイン

パソコンのカメラで顔を認識させて本人確認するパターンです。
Windows Helloは私がおすすめしているWebAuthnのひとつです。

（動画時間：約20秒）

こちらもとても簡単な動作でしたよね。まずメールアドレスを指定した後、次の画面に遷移します。「ユーザーを確認しています」という画面が表示され、顔のスキャンによる本人確認が行われます。そしてOktaのEnd-User Dashboardに対するサインインが完了します。

パスワードレスの紹介記事ですので当然なのですが、サインインする際にパスワードの入力が不要です！まだまだパスワードを入力するのが当たり前であることが多いと思いますが、サインインする際にパスワードを入力しなくていいのは画期的ですよね。それに、サインインする際にパスワードを使わないということは、パスワードを登録する必要すら無いということです。

サインアップからWebAuthnの登録

次はサインアップ（アカウントの新規登録）のデモ動画をご覧ください。

（動画時間：約1分40秒）

あっという間でしたね。サインアップの際に、パスワードを考える必要がありません（パスワードマネージャーなどによる自動生成もありますが、それについてはいったん置いておきます）。メールアドレスと姓名のみ入力した後、メールによる本人確認が行われます。その後、Windows Helloによるセットアップが行われてサインインが完了します。最後に、いったんサインアウトしてからサインインをやり直しています。

パスワードレスを実現するための方法

次に、改めてパスワードレスを実現するための方法やそのメリット・デメリットについて説明します。

デモ動画では2種類の方法をご覧いただきましたが、他の方法も含めて改めて整理します。

※ MFA疲労攻撃とは、何らかの手段で入手したクレデンシャル情報を使ってサインインを繰り返すことにより、MFAのプッシュ通知が正規のユーザーに対して大量に届くことになり、その結果、正規のユーザーが判断を誤ってアクセスを承認してしまうことを狙ったものです。

パスワードレスを実現するための方法はこの表に記載した以外のものもありますが、この記事では省略します。

サインインした後に何ができるサービス／アプリケーションなのか、守るべきものは何か、どういった属性（外部の一般消費者向けなのか、内部の社員向けなのか、比較的若い層なのか、シニア層なのか等）を持つユーザーを対象とするのかによって最適な方法は異なります。パスワードレスであったとしても、追加の認証を行った方が良い場合もあるかもしれません。

また、単一の方法しか対応していない場合（SMSの番号を登録した携帯電話／スマートフォンを自宅に置き忘れた、指がかさついて指紋がうまく読み取れない等）、サインインできなくなる可能性もあるため、複数の方法でサインインできるようにしておくべきです。

ご参考までにこちらもご覧いただけると幸いです。

パスワードレスのメリット

あらためてパスワードレスのメリットを挙げるならば、便利で安全性が高まることと言えるでしょう。

具体的にどういうことか説明していきます。

パスワードを考える必要がなくなる

セキュリティの制約が厳しくなってきている昨今、年々パスワードの設定が億劫になってきていませんか？8文字以上で半角英字の小文字と大文字、半角の数字、半角の記号から、それぞれ最低1文字は入れるなど、設定のハードルが上がっているように感じます。

さらに、90日に1回変更する、1回変更した後は数日間変更できない、過去に使ったパスワードは使えないなど、頭を悩ませる条件が立ちはだかります。このような状況が、かえってパスワードの使い回しにつながっているという意見にも頷けます。

パスワードレスなら、そもそも考えなくて良いし、覚える必要もありません！

アカウントがロックアウトされるリスクを減らせる

サインインする際に、パスワードを忘れてしまった、Caps Lockに気が付かず大文字小文字を間違えて入力した、それで何回もやり直したらアカウントがロックアウトされてサインイン不能になったということは、誰しも経験があると思います。

セルフサービスで解除できない場合には、サポートに問い合わせを行う必要があります。問い合わせ先はどこか、すぐに対応してくれるのか、上長経由での依頼が必要かなどの確認が大変ですよね。情報システムのサポート部門の業務の大半の時間が、こうした「パスワードを忘れた」、「アカウントがロックアウトされた」の対応で消費されているとも言われています......。

パスワードレスなら、パスワード起因のアカウントロックアウトがありません。また、その対応にかかっていたサポート部門の工数を削減できます。

※ 複雑な文字列のパスワードを自動生成して管理してくれるパスワードマネージャーを使う手段もありますが、これにもメリットとデメリットがあるので今回はいったん置いておきます。

パスワードを起因とした攻撃リスクを減らせる

パスワードレスなら、パスワードを前提とした攻撃が成り立たないのでリスクを大きく減らせます。

さいごに

パスワードレスは既に様々な組織で取り組みが始まっており、Passkeysなどによる運用が始まっています。

パスワードありきで既に運用しているサービスをパスワードレスに移行する際には、様々な検討事項も出てくるかと思いますし、パスワードレスの運用においては、利用するデバイス（顔認証のためのカメラや指紋読み取りのセンサー、ハードウェアキー）の故障や紛失、置き忘れなどにより認証ができなくなるというデメリットもあります。しかし何よりも、パスワードレスの導入によるメリットの方が大きいと私は考えます。

この記事を読んでくださった皆様も、パスワードレスについて検討されてみてはいかがでしょうか？

そして、Oktaを使ったパスワードレスの導入を検討する際には、ぜひラックへお声がけください。