パスワードは問題を抱えています。セキュリティにおける最大の弱点であり、侵害の主な原因であり、管理も困難です。しかし、2023年の「パスワード変更の日」においても、パスワードは依然として広く使われています。
オンラインの脅威に対抗するためにパスワードを頻繁に変更する代わりに、パスワードを一切使用しないことが最善の解決策です。パスワードレス認証を導入することで、パスワード特有の問題を解決し、より強固なセキュリティと優れたユーザーエクスペリエンスを実現できます。
パスワードを何度も使い回すという、あまりにも一般的な習慣を考えてみましょう。私たちは今でも、すべてのアカウントに固有のパスワードを設定することの重要性を、いくら強調してもし過ぎることはありません。なぜでしょうか? 1つのアカウントが侵害されると、悪意のある人物が同じユーザー名やメールアドレスに紐付けられた他のアカウントに簡単に侵入できてしまうからです。
ジャンプ先:
- パスワードポリシーが不十分だと、パスワードの使用も不十分になる
- パスワードのない未来
- パスワードレス導入への道を開く
パスワードポリシーが不十分だと、パスワードの使用も不十分になる
しかし、このような不適切なパスワード管理の実態は、平均的な人が約191種類のログイン情報、パスワード、その他の認証情報を管理することになるということです。つまり、それらを覚えておくのに非常に手間がかかる上に、「自分には起こらない」という考え方にもなりかねません。人間の性質上、多くの人が既存のパスワードを使い回したり、付箋にパスワードを書き留めるといった不適切な習慣を身につけてしまいます。
参照:2022年のベストエンタープライズパスワードマネージャー8選(TechRepublic)
人々は、基本的な複雑さの要件を満たしつつも「覚えやすい」パスワードを使用するように指導されてきました。こうした最低限の複雑さは、多くの場合善意から設定されていますが、結果として覚えにくいパスワードを生み出してしまいます。
ハッカーは専用のパスワード攻撃ツールを使用して、パスワードを推測したり解読したりすることも可能です。実際、NordPassは2021年の調査で最も一般的なパスワード上位200個をまとめたレポートを公開しており、何百万人もの人が同じ覚えやすいパスワードを使用していると報告しています。
この傾向に対抗するため、一部の組織ではユーザーにパスワードの頻繁な変更を強制しています。しかし、これは問題を悪化させるだけです。ユーザーがパスワードを書き留めたり、複数のサイトで同じパスワードを使用したり、パスワードを完全に忘れてしまったり、最悪の場合、ヘルプデスクに問い合わせるといった事態に陥る可能性が高まります。また、ユーザーと管理者の両方がパスワード管理に費やす時間と労力が増えるため、生産性が低下する可能性もあります。
パスワードの共有もまた、無謀な行為です。消費者がコスト削減のために家族や友人とパスワードを共有するのは、様々なストリーミングサービスの例を見れば明らかです。一見無害に思えるかもしれませんが、パスワードを共有すると、ITチームは誰が実際にアプリケーションにアクセスしているのかを把握できなくなり、認証されていないユーザーに対する保護対策を講じることができなくなります。
同じユーザー名を使用する場合にも、同様の脅威が存在します。ユーザー名は多くの場合共通であったり、公開されていることが多いため、セキュリティ上の価値は低くなります。例えば、ソーシャルメディアのハンドルネームが、複数のプラットフォームやサービスで同じユーザー名になっている場合があります。このような重複により、各アカウントが固有である場合よりも、デジタルフットプリントのマッピングや悪用が容易になります。
パスワードのない未来
ここで、パスワードレス技術と合理化されたエクスペリエンスが役立ちます。パスワードレス認証は一般的に、所有要素(モバイルデバイスなど、ユーザーが所有しているもの)または固有要素(顔や指紋などの生体認証)に基づいて、より高い確実性と利便性でユーザーの本人確認を行います。
消費者にとって、パスワードレス化はエンゲージメントの向上、ログインの容易化、そして全体的な体験のシームレス化とセキュリティ確保につながります。優れたデジタル体験は長期的なロイヤルティにつながるため、収益向上につながります。
消費者の46%がパスワードに代わる認証方法を提供するサイトを好み、53%がサイトやサービスへのサインインに多要素認証を利用することに安心感を抱いているというデータがあります。顧客は既にスマートフォンでのパスワードレス生体認証ログインに慣れています。パスワードレス認証を提供することで、企業は顧客体験を向上させるだけでなく、離脱率を低減し、収益を向上させることができます。
従業員にとって、パスワードの入力と再設定にかかる時間が短縮されることで、生産性が向上し、ヘルプデスクの負担が大幅に軽減され、コスト削減につながります。セキュリティ面のメリットも明らかです。侵害の82%は、ブルートフォース攻撃、または紛失・盗難された認証情報の使用によるものです。パスワードへの依存をなくすことは、セキュリティとユーザーエクスペリエンスを向上させる明確な解決策となります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
パスワードレス技術は現在容易に入手可能ですが、普及率は依然として低いのが現状です。これは、パスワードレスが単一のソリューションではなく、複数の製品やテクノロジーを統合し、ユーザーに選択肢を提供する必要があるためです。また、単なるITやセキュリティに関する決定ではなく、組織全体の様々なリーダーの賛同を得る必要がある重要なビジネスイニシアチブでもあります。
パスワードレス化への道のりは決して短くはありませんが、その目標達成のための明確なロードマップがあります。組織はまず、ユーザー名とパスワードに基づく集中認証と、シングルサインオンエクスペリエンスを提供するインテリジェントなMFAといった基本から始めるべきです。
リスクサービスと生体認証を活用した継続的かつ適応的な認証によって、パスワードを段階的に廃止することで、進歩は続いています。パスワード廃止に向けた最終段階では、FIDO認定製品や信頼できるデバイス、そして本人確認の活用が求められます。
パスワードレス導入への道を開く
パスワードレスの未来は、セキュリティの強化、ユーザーエクスペリエンスの向上、そして生産性の向上につながります。パスワードレス化は着実に進んでいますが、広く普及するには時間がかかるでしょう。それまでは、パスワードをきちんと管理することが重要です。パスワードを定期的に変更し、アカウントごとに異なるパスワードを使用し、パスワードマネージャーを活用してパスワードの追跡を行い、MFAを有効にしましょう。
Ping Identityのエグゼクティブアドバイザーであるオーブリー・ターナーは、フォーチュン1000企業に対し、ビジネス課題の解決、組織の強化、リスクの軽減、そして良好なビジネス成果をもたらす戦略的なエンタープライズサイバーセキュリティソリューションを提供してきた豊富な経験を有しています。オーブリーは、主要なステークホルダーとの良好な関係構築と合意形成に実績を積んでいます。さらに、リーダーシップ、コミュニケーション能力、マネジメント能力、コラボレーション能力、そして営業能力においても、確かな実績を誇ります。
