MFA の未来：パスワードレス・ライクとフル・パスワードレスの違いは？

The future of MFA is passwordless

2022/10/19 HelpNetSecurity — Secret Double Octopus と Dimensional Research の両者は、従業員 1,000人以上の組織において従業員の ID とセキュリティを担当する300人以上の IT 専門家を対象に、従業員のパスワードレス認証と多要素認証 (MFA) の使用状況について調査を実施した。

エンタープライズ・パスワードレス・ソリューションの未来へ

この調査では、新しい FIDO2 認定のエンタープライズ・パスワードレス・ソリューションの認識と採用状況を明らかにし、シングルサインオン・ポータルとエンドポイント生体認証ベースの、[パスワードレス・ライク] エクスペリエンスの影響を分離している。パスワードレス・ライクなエクスペリエンスは、パスワードが利用されない認証体験を模倣することもあるが、パスワードとセキュリティ・リスクを保持し、ときにはエンドユーザーがパスワードを記憶することも必要とする。

FIDO2 セキュリティ・キーと、分散型スマートフォンでの管理と生体認証を活用する、FIDO2 準拠のソフトウェア・ソリューションは、[次世代パスワードレス] ソリューションとして定義されている。

Dimensional Research の President である Diane Hagglund は、「従業員の ID とセキュリティに関する専門家は、この調査で定義された次世代パスワードレス・ソリューションが、既存の MFA や従来のパスワードレス・アプローチと比べて、強化されたセキュリティをもたらす可能性があることを明らかにしている。多くの IT 専門家が、この言葉を SSO や Touch ID をなどのテクノロジーと結びつけていることを考えると、この調査は、パスワードレス MFA の各種のアプローチについて話すときに、マーケットに存在する混乱を明確にするものとなる」と述べている。

主な調査結果

すべてのパスワード・ログインに MFA を使用している組織は僅か 16% であり、サイバー攻撃の表面領域を完全に封鎖するために必要な End-toEnd の普遍性に、MFA が到達していないことが示唆される。MFA プロバイダーを１社に限定しているのは 33% であり、50% が ２〜３社、17% が ４社以上のプロバイダーを利用しており、MFA による IT の複雑化が示唆されている。

パスワードレスを考える際に、回答者の 70% がシングル・サインオン (SSO) ポータルを思い浮かべ、63% が Windows Hello for Business などの PC デバイス結合型バイオメトリクスを、パスワードレスのトレンドの一部として結びつけている。そして、次世代パスワードレス・ソリューションを使用していると、現時点において 49% が回答している。

参加者は、次世代パスワードレス・ソリューションがもたらすメリットとして、「優れたエンドユーザー・エクスペリエンス」と「より優れたセキュリティ・カバレッジ」の２つを挙げている。

Secret Double Octopus の CEO である Raz Rafaeli は、「安全性の低いパスワードレス・ソリューションと比較して、新しいソリューションの位置づけについて。業界の見識を深めることができて、大変嬉しく思っている。私たちにとって、パスワードレスの本当の約束は、従業員が１日に遭遇する全てのユースケースにおいて、普遍的にパスワードを設定／推測／記憶する必要がないという目標を達成することだ。私たちは、それをフル・パスワードレスと呼び、決定的な設計目標となっている」と述べている。

企業への提言

セキュリティ体制を向上させるために、企業は以下を行う必要がある。

パスワードレス・ライクなソリューションと、フル・パスワードレスの実現に向けた、新しいエンタープライズ・パスワードレス製品との違いを認識する。

MFA (可能であればパスワードレス MFA) を、すべてのリソースとシステムに導入し、MFA 戦略に抜けが生じないようにする。

次世代のパスワードレス MFA ソリューションを評価し、MFA 疲労を軽減し、環境における MFA 管理の複雑性を軽減する。

パスワードレス・ライクなソリューションと、フル・パスワードレスなソリューションの違いを認識せよと言われても、ちょっと難しいですね。最近のインシデントから考えると、8月9日の「Cloudflare の従業員に SMS フィッシング攻撃：Twilio の二の舞にならなかった理由は？」で指摘されている FIDO2 の存在が浮上してきます。また、10月12日の「Google が展開する Passkey：Android／Chrome でパスワードレス認証をサポート」で紹介されている、Passkey なども期待をもたせてくれます。なお、この記事のベースになっている、Double Octopus の 2022 State of Workforce Passwordless Authentication も、ぜひ、ご参照ください。