認証 101: 企業向けのパスキーとは？

今回の「認証101」ブログ投稿では、FIDOパスキーの進展について詳しくお話しします。Microsoft、Google、Appleといった大手プラットフォーマーは、個人向けにパスワードレス認証の普及を進めていますが、企業向けには、どのようなパスワードレス認証の導入が考えられるでしょうか？

FIDOとパスキーの基盤

FIDOアライアンスは、Infineon、Lenovo、PayPalなどの企業によって設立され、当初は二要素認証（2FA）の標準化を目指していました。その後、非対称暗号技術を基盤にした、パスワードを使わずにログインできる「パスキー」という完全なパスワードレス認証を開発しました。

パスキーの仕組み

パスキーは、従来のパスワードの代わりに「秘密鍵」と「公開鍵」のペアを使用します。秘密鍵はユーザーのデバイス内に安全に保存され、公開鍵はサービスプロバイダーの特定ドメインに紐づけられます。この仕組みにより、パスキーはフィッシング攻撃（偽のウェブサイトを使った詐欺）に対して強力な防御力を発揮します。仮に偽のウェブサイトが現れても、公開鍵が一致しなければパスキーは使えないため、不正なサイトでの利用を防ぐことができます。

2種類のパスキー

パスキーには、デバイスに紐づく「デバイスバウンドパスキー」とデバイス間で同期する「同期パスキー」の2種類があります。

• デバイスバウンドパスキー：例えば、スイスビットのiShield KeyのようなUSBタイプのFIDOセキュリティキーは、鍵を1つのデバイスにローカル保存します。つまり、特定のデバイスでのみパスキーが使用できる仕組みです。
• 同期パスキー：一方、同期パスキーは、GoogleやAppleのクラウドサービスを通じて、複数のデバイス間で鍵の情報を自動的に同期します。これにより、異なるデバイスでもスムーズに利用でき、個人ユーザーにとって利便性が高く広く普及しています。

個人ユーザーにとって便利なパスキーですが、企業環境でも同様に有用でしょうか？それとも新たな課題やセキュリティリスクが生じるのでしょうか？更に詳しく検討する必要があります。

企業環境におけるパスキーのメリット

• セキュリティ強化とフィッシング耐性: パスキーは特定のドメインに紐づいているため、フィッシングサイト（偽のウェブサイト）にはアクセスできません。これにより、ユーザーの認証情報が盗まれるリスクを減らすことができます。
• ユーザーの使いやすさとトレーニングコストの削減: WhatsAppやFacebookなどのアプリでの使用が増えているため、多くのユーザーがパスキーに慣れ親しんでいます。このため、企業がパスキーを導入する際、トレーニングにかかるコストや時間を削減できます。
• 便利な復旧オプション: 同期パスキーはGoogleやAppleのアカウントを通じて簡単に復旧できます。これによって、ユーザーがパスキーを紛失しても簡単に復元でき、企業にとっては便利です。しかし、第三者サービスへの依存がセキュリティリスクとなる可能性があるため、その点を慎重に評価する必要があります。

企業におけるパスキーの主要な課題と懸念事項

• プラットフォーム間のユーザーエクスペリエンスの不一致：個人用デバイスではパスキーがスムーズに動作する一方、企業のシステムでは異なる認証画面が表示されるため、混乱を招く恐れがあります。企業はこれらの認証画面をカスタマイズできないため、スプーフィング（なりすまし）を防ぐのが難しくなり、サポート対応の負担が増える可能性があります。
• フィッシング以外のセキュリティ制限：パスキーはフィッシング攻撃には強い反面、ヘルプデスクを名乗ってパスワードを聞き出すような、ソーシャルエンジニアリング攻撃には依然として脆弱です。企業はこうした攻撃に対抗するために、内部でしっかりとしたセキュリティ対策を設ける必要があります。
• 第三者の同期サービスへの依存：同期パスキーはAppleやGoogleのサービスに依存しているため、企業が管理するデバイス以外や未許可のデバイスで認証が行われると、セキュリティや管理に問題が発生する恐れがあります。

企業におけるパスキー導入の戦略的アプローチ

パスキーが企業で適切に導入できるかどうかは、セキュリティのニーズやユーザーの使い方、多要素認証（MFA）プロセスを詳細に評価することにかかっています。パスキーを導入する前に、企業は従来のハードウェアトークンを前提に作られている可能性のあるMFAポリシーをしっかりと見直し、更新する必要があります。

企業でパスキーを導入する際に考慮すべき点：

• 登録プロセス：パスキーの登録方法や管理体制を整備する必要があります。たとえば、社員がパスキーを紛失した場合に備え、復旧方法を事前に決めておくことが重要です。
• デバイス管理：社員が認証に使用できるデバイスやその台数を制限する必要があります。社用デバイスのみを許可するのか、個人デバイスの利用を許可するのか、その範囲を明確に定め、管理することが重要です。
• 復旧・共有管理：Appleではパスキーを家族や友人と共有できる機能がありますが、企業にとってはセキュリティリスクを生む可能性があります。企業内でパスキーの復旧や共有の仕組みは、安全に運用できるかどうか確認することが重要です。

パスキーの可能性と限界

パスキーは、認証技術の進歩として重要な役割を果たしており、特にフィッシング攻撃のリスクを大幅に減らす効果があります。しかし、企業で導入する際には慎重な検討が必要です。技術の統合に加えて、企業は第三者のシステムへの依存やデバイスポリシーの管理、そして進化し続けるソーシャルエンジニアリング攻撃に対する防御策を整える必要があります。最終的には、パスキーは適切に設計された堅牢な多要素認証（MFA）戦略の一部として導入されることで、企業のセキュリティ強化に大きく貢献できるでしょう。

結論

企業がセキュリティを強化し、フィッシング攻撃に対する耐性を高めるための実用的な解決策として、FIDOセキュリティキーを用いたハードウェア認証があります。特に、スイスビットの「iShield Key Pro MIFARE」は、最新技術を採用しており、単なるパスキー認証だけでなく、さまざまな機能を提供しています。具体的には、従来のワンタイムパスワード（OTP）や個人認証（PIV）の機能に加え、非接触型の物理アクセスにも対応しています。このため、企業の建物や駐車場へのアクセス管理、EV充電ステーション（ウォールボックス）での認証、さらにはカフェテリアでの少額決済など、多岐にわたる用途で活用できるハイブリッド機能が備わっています。

企業のセキュリティ強化やフィッシング対策には、FIDOセキュリティキーを活用したハードウェア認証が効果的です。認証システムの見直しをお考えの際は、ぜひご相談ください。