
今回の「認証101」ブログ投稿では、FIDOパスキーの進展について詳しくお話しします。Microsoft、Google、Appleといった大手プラットフォーマーは、個人向けにパスワードレス認証の普及を進めていますが、企業向けには、どのようなパスワードレス認証の導入が考えられるでしょうか?
FIDOアライアンスは、Infineon、Lenovo、PayPalなどの企業によって設立され、当初は二要素認証(2FA)の標準化を目指していました。その後、非対称暗号技術を基盤にした、パスワードを使わずにログインできる「パスキー」という完全なパスワードレス認証を開発しました。
パスキーは、従来のパスワードの代わりに「秘密鍵」と「公開鍵」のペアを使用します。秘密鍵はユーザーのデバイス内に安全に保存され、公開鍵はサービスプロバイダーの特定ドメインに紐づけられます。この仕組みにより、パスキーはフィッシング攻撃(偽のウェブサイトを使った詐欺)に対して強力な防御力を発揮します。仮に偽のウェブサイトが現れても、公開鍵が一致しなければパスキーは使えないため、不正なサイトでの利用を防ぐことができます。
パスキーには、デバイスに紐づく「デバイスバウンドパスキー」とデバイス間で同期する「同期パスキー」の2種類があります。
個人ユーザーにとって便利なパスキーですが、企業環境でも同様に有用でしょうか?それとも新たな課題やセキュリティリスクが生じるのでしょうか?更に詳しく検討する必要があります。
パスキーが企業で適切に導入できるかどうかは、セキュリティのニーズやユーザーの使い方、多要素認証(MFA)プロセスを詳細に評価することにかかっています。パスキーを導入する前に、企業は従来のハードウェアトークンを前提に作られている可能性のあるMFAポリシーをしっかりと見直し、更新する必要があります。
パスキーは、認証技術の進歩として重要な役割を果たしており、特にフィッシング攻撃のリスクを大幅に減らす効果があります。しかし、企業で導入する際には慎重な検討が必要です。技術の統合に加えて、企業は第三者のシステムへの依存やデバイスポリシーの管理、そして進化し続けるソーシャルエンジニアリング攻撃に対する防御策を整える必要があります。最終的には、パスキーは適切に設計された堅牢な多要素認証(MFA)戦略の一部として導入されることで、企業のセキュリティ強化に大きく貢献できるでしょう。
企業がセキュリティを強化し、フィッシング攻撃に対する耐性を高めるための実用的な解決策として、FIDOセキュリティキーを用いたハードウェア認証があります。特に、スイスビットの「iShield Key Pro MIFARE」は、最新技術を採用しており、単なるパスキー認証だけでなく、さまざまな機能を提供しています。具体的には、従来のワンタイムパスワード(OTP)や個人認証(PIV)の機能に加え、非接触型の物理アクセスにも対応しています。このため、企業の建物や駐車場へのアクセス管理、EV充電ステーション(ウォールボックス)での認証、さらにはカフェテリアでの少額決済など、多岐にわたる用途で活用できるハイブリッド機能が備わっています。
当社の専門知識をぜひご体験ください
Receive the latest news and announcements about storage and security solutions as well as current events and new products.