ゼロトラストを実現するID管理導入の教科書 » おさえておきたいID管理の用語解説 » パスワードレス認証とは?

パスワードレス認証とは?

パスワードレス認証とはサービスやシステムにログインする時、パスワードを使わずにユーザーを認証する方法です。パスワードでの認証はサービスやシステムごとに決められたパスワードを覚えておく必要がありますがパスワードレス認なら覚える必要がありません。

パスワードレス認証の種類

パスワード認証では認証の三要素の知識情報である文字・記号・数字を組み合わせたパスワードを使いますが、パスワードレス認証の方法にはいくつかの種類があります。代表的なものは以下のものです。

生体認証

生体認証は指紋、顔、静脈など個人しかもっていない生体的特徴に関する情報を利用して本人認証を行う認証方式です。スマホ、タブレット、PCなどで顔情報や指紋など生体情報を読み取って事前登録してある顔情報や指紋と一致するかどうか確認します。セキュリティ強度が高いので特にセキュリティに配慮すべき場所やサービスで使われます。

所持認証

所持認証(デバイス認証)は本人が所持、携帯する物を使って本人認証を行う認証方式です。ログイン時にスマートフォンやPCなどのデバイスに通知して本人確認をする方式で、認証アプリで生成されタコードやSMSで受信するワンタイムパスワード(OTP:One Time Password)などを使います。PCのUSBポートに接続して認証するセキュリティキーや専用機器が発行するハードウェアトークンも所持認証の一種です。

マジックリング

マジックリンクはユーザーのメールアドレス宛に一定時間有効や1回限り利用可能といったログイン用認証リンクを通知し、ユーザー本人が認証リンクをクリックして認証を完了させる認証方式です。

FIDO認証

FIDO(Fast Identity Online)はパスワードレスを実現する認証技術開発と標準化のための国際規格で、標準規格団体「FIDO Alliance」が制定しています。2018年に「FIDO UAF」「FIDO U2F」の2つの規格を統合・拡張した新しい仕様として「FIDO2」が発表されました。FIDO2はFIDO2対応ブラウザと認証器(スマートフォンやPC)を使って公開鍵暗号方式で認証を行います。

パスワードレス認証は安全?

これまでのパスワード認証に比べるとパスワードレス認証は、より安全性が高い認証方式です。認証で警戒しなければならないのは不正アクセスですが、パスワードレス認証は不正アクセスに対する耐性が高いです。パスワード認証は漏洩などでパスワードを知られてしまうと不正アクセスされるリスクが高くなりますが、パスワードレス認証では所有情報や生体情報を使うので他人が情報を入手することは難しくなります。

しかしパスワードレス認証であっても不正アクセスを完璧に防ぐことはできません。たとえばスマートフォンによるデバイス認証ではスマートフォンの盗難や紛失で不正アクセスリスクが発生します。

パスワードレス認証のメリット

パスワードレス認証には「セキュリティ強化」と「利便性向上」というメリットがあります。

セキュリティ強化

パスワードレス認証ではパスワードを使わないのでユーザーはパスワードを管理する必要がなくなります。そのためパスワード認証の問題もある、類推しやすいパスワードやパスワードの使い回しといったリスクを防止できます。またパスワード類推攻撃やパスワードリスト攻撃などの不正ログイン攻撃も防止できます。

利便性向上

パスワードレス認証ならシステムやサービスを利用するたびにパスワードを入力する必要がなくなりスムーズにログインできます。パスワードが不要になれば数多くのパスワードの管理や定期的なパスワード変更も不要になります。企業ではパスワードレス認証を利用したシングルサインオンを導入することで業務効率化、利便性向上、生産性向上が期待できます。

パスワードレス認証のデメリット

生体認証によるパスワードレス認証など、パスワードレス認証の実現に専用機器が必要になることがあります。顔や指紋を読み取る機器の導入や、そのための環境変更などコストが発生します。

またユーザー側ではログインのたびにメールを確認する、認証アプリでコードを確認するといったわずらわしさだけでなく、体調によっては生体認証が通りづらくなることもあります。端末の故障や紛失でログインできなくなるということも考えられます。

THREE SELECTION

【ニーズ別】
ゼロトラスト対応の
ID管理システム3選

「ゼロトラスト」時代のID管理においては、IDが持つユーザー情報と権限を正しくコントロールし、かつユーザーに起こりえる人事イベントと正確に連動できることが重要です。このサイトでは、ゼロトラストに対応できるID管理システムを、企業のニーズ別に厳選して紹介しています。
※「ID管理」でGoogle検索上位30社を調査(2021年3月調査時点)。その中から、「IDの一元管理」「ID管理の効率化」「複数拠点のアクセス管理を一気通貫で強化」というニーズのいずれかに応えられる会社を、それぞれ1社ずつ紹介。

ID管理をより
効率化したい

Keyspider

keyspider
画像引用元:株式会社axio https://www.axio.co.jp/products/keyspider/
  • アカウント管理を自動化できる機能数が当サイト内において最も多いID管理システム※ ※2021年3月調査時点
  • DX推進・IT統制を迅速にしたい成長中の中堅企業におすすめ
IDを一元管理
できるようにしたい

Azure AD

Azure AD
画像引用元:マイクロソフト公式 https://azure.microsoft.com/ja-jp/services/active-directory/#overview
  • ガートナー社による評価でリーダーに選出されたID一元管理システム
  • とりあえずID管理を導入したい中小・ベンチャー企業におすすめ
ID・アクセス管理を
一気通貫で強化したい

Okta

Okta
画像引用元:Okta公式 https://www.okta.com/jp/
  • グローバルで14,000社以上の導入実績を持つID管理・統合認証サービス ※2022年1月調査時点
  • 複数拠点でアクセス管理を強化したい大手・グローバル企業におすすめ