パスキーは、Google、Apple、Facebook、Meta などの消費者向けサービスによってますます一般的になってきています。パスキーを使用すると、従来のパスワードを利用したログインと比べてセキュリティが大幅に向上します。

消費者向けのソリューションがプロフェッショナルな用途に流用されるのはよくあることです。例えば、絵文字リアクションをメールに送ることができるようになったのもその一例です。しかし、Instagramでパスキーを使ってログインできるからといって、ビジネスで使用すべきだというわけではありません。

簡潔に言うと、FIDOパスキーは企業での使用に適しているのでしょうか?translated

パスキーとは?translated

アメリカの FIDOアライアンス (ファイドアライアンス)は、2013年に設立された組織で、パスワードに代わる強力な認証方法を開発しています。FIDOはその名が示す通り、「Fast Identity Online」を提供し、パスワードレスでの認証を実現しています。

FIDOはその後、急速に広まり、多くの大手企業が支持する認証方法となっています。特にApple、Google、PayPal、Microsoftなどが積極的に利用しています(RSAもFIDO Allianceのメンバー で、Enterprise Deployment Working Groupの共同議長を務めています)。

FIDO認証は非対称鍵ペアを使用してサービスにログインします。FIDO認証情報がサービスに登録されると、新しい鍵ペアがFIDO認証器で生成され、その鍵ペアだけがサービスに信頼されます。この鍵ペアはサービスの正確なドメイン名に結びつけられます。

サービスとFIDO認証情報との厳密なペアリングにより、高度なフィッシング耐性が実現されています。例えば、ユーザーが実際のサイトとは異なるフィッシングサイトでログインしようとしても、ドメイン名が一致しないためログインに失敗します。

2022年にはApple、Google、Microsoftが 「パスキー」という新しいタイプのFIDO認証をサポートすることを発表しました。2023年にはFIDO Allianceが「パスキー」という用語をすべてのFIDO認証情報を指す言葉として採用しましたが、これにより「パスキー」が指す意味が曖昧と感じる時もあるかもしれません。

この曖昧さはFIDO Allianceによって対処されていますが、組織内での理解が統一されていない場合もあります。この曖昧さを解消することは重要です。なぜなら、すべてのパスキーが同じではなく、企業利用に適しているわけではないからです。translated

デバイスバウンドパスキーと同期パスキーtranslated

FIDOアライアンスによって定義されたパスキーには、デバイスバウンドパスキーと同期パスキーの2種類があります。

デバイスバウンドパスキー は、特定の「セキュリティキー」デバイスに保存されます。このタイプのパスキーでは、鍵ペアは単一のデバイスで生成・保存され、鍵素材自体はそのデバイスから外に出ることはありません。

一方、 同期パスキーは、いわゆるリモート同期の仕組みを介して鍵が保存され、その後、同じユーザーが所有する他のデバイスで復元することができます。現在の主要な同期の仕組みには、Microsoft、Google、Appleがあります。例えば、Androidスマートフォンをパスキーとして登録すると、その対応する鍵は他のAndroidデバイスでもすぐに利用可能になります。

同期パスキーは、WhatsAppやFacebookなどの広く使用されているサービスのサポートに加え、一般的なパスキーの使用が急増している主な理由の一つです。多くのアカウントとデバイスを持つユーザーが、すべてのデバイスで同じ同期パスキーを使用できるためです。translated

パスキーの利点translated

パスキーは、非常に優れた多要素認証(MFA)手段です。安全で、迅速、便利で、ユーザーもすでに馴染みがあります。しかし、パスキーの利点の中で特に注目されているのは、フィッシングに対する耐性です。

パスキーは、これまでの一般的なフィッシング攻撃を防ぐのに役立ちます。パスワードが使用されていないため、盗まれるべきパスワードが存在しません。これは他のパスワードレスMFA手法でも同様ですが、パスキーは同期された鍵とサービスのドメインマッチによる追加のセキュリティレベルを提供します。

アメリカでは、フィッシング耐性が重要な要素となっており、 エグゼクティブオーダー14028 では、重要なインフラを保護するためにフィッシング耐性のあるパスワードレス認証が求められています。translated

パスキーの課題translated

パスキーは大きな利点を提供しますが、いくつかの重要な課題や問題も伴います。

消費者向けに発展してきたソリューションであるため、ユーザガイダンスやユーザエクスペリエンスが課題になることがあります。

例えば、ユーザにパスキーをUSBポートに挿入させる、またはPINを入力させるダイアログは、オペレーティングシステムやブラウザによって異なります。これらのプロンプトは、ユーザのトレーニングやサポートコールの最小化を難しくする可能性があります。

なぜプロンプトを変更できないのか?第三者のサービスプロバイダー(例えばRSA)は、ブラウザやOSベンダーによって設定されたプロンプトを変更することができません。プロンプトを変更できると、攻撃者も更新されたフォームを使用してユーザーを監視する可能性があるためです。そのため、ログインプロンプトをロックしておくことは重要なセキュリティ対策ですが、すべてに一律に適用されるアプローチを生む可能性があります。

高いフィッシング耐性は明確な利点ですが、それで万全というわけではありません。パスキーを使用すれば、すぐに社会工学的攻撃から免れると考えるのは誤りです。パスキーはフィッシングという特定の社会工学的攻撃に対抗する助けになりますが、他のバリエーションも存在します。例えば、 MGM ResortsCaesars Palace などラスベガスでの攻撃は、MFA認証器の登録を許可するために ヘルプデスクを悪用する など、ソーシャルエンジニアリングな要素が含まれていました。

攻撃者は当然ながら適応します。MFAの普及により、フィッシングは魅力が減少しましたので、MFAシステム周りの脆弱性が利用されるのは自然なことです。パスキーがこれらの問題を解決できると考えるのは間違いです。translated

同期の仕組みとサイバーセキュリティの脆弱性translated

人は、ハンマーを持つとすべてが釘に見えると言います。素晴らしいソリューションであっても、もともと消費者向けに設計されたソリューションを企業アプリケーションに転用することは、重大なリスクを引き起こす可能性があります。translated

この記事を読み進めるうちに、「同期の仕組み」という言葉に対して不安を感じたかもしれません。あなたの直感は正しいです。translated

パスキーがAppleやGoogleを通じてユーザがログインしているすべてのデバイスにまるで魔法のように現れるという事実は、企業環境では大きな警告となり、いくつかの重要な疑問を引き起こすはずです:translated

  • ユーザに複数のデバイス(場合によっては個人使用のものも含む)を認証に使用することを許可すべきでしょうか?もしそうなら、いくつのデバイスを許可すべきでしょうか?translated
  • 同期されたパスキーは、例えばGoogleやAppleのアカウント復旧プロセスを使用して「失われた」パスキーを復元することができます。それは素晴らしいことですが...これらのプロセスは十分に安全でしょうか?translated
  • Appleの機能で、ユーザがパスキーを友人や家族と共有できるのは素敵ですが…これは、企業アプリケーションにログインするために使用されるパスキーにも適用されるのでしょうか?translated

同期されたパスキーを使用する場合、企業のセキュリティは突然、AppleやGoogleの技術的、組織的なセキュリティに大きく依存することになります。確かに、iOSやAndroidを使用している以上、ある程度の依存はありますが、同期されたパスキーはこの依存度を大幅に高めます。translated

これは理論上の脆弱性ではありません。昨年、 Retool は、脅威アクターが同社のシステムにアクセスするためにこの機能をどのように利用したかを説明しました。Retoolは、この機能により「Googleアカウントが危険にさらされると、MFAコードも危険にさらされる」と述べています。translated

パスキーは企業利用に適しているのか?translated

パスキーを企業で使用するべきかどうかを一般的に答えることはできません。各組織はそれぞれ異なり、独自のセキュリティおよび運用の優先事項を考慮する必要があります。

さらに、パスキーの導入は単なる「はい」または「いいえ」の質問ではありません。パスキーまたはパスワードレスログインの導入は、組織のMFAプロセス全体を根本的に見直す機会とするべきです。15年間ハードウェアOTPトークンでうまくいっていたことが、パスキーや他のMFA手法では必ずしも当てはまらないかもしれません。

RSAでは、パスキーは組織の戦略に合致し、 組織が 次の質問に対する答えを考えた場合に限り、企業利用に展開することができると考えています。 RSA® ID Plusを使用して、パスキーを活用して導入している組織も見られます。これは、さまざまなパスワードレスオプションを提供する包括的なアイデンティティおよびアクセス管理(IAM)プラットフォームです。

私たちはセキュリティファーストの組織であり、Secure by Design / Secure by Defaultの原則を採用しています。そのため、デフォルトで同期パスキーの使用を防ぎ、RSA環境ではデバイスバウンドパスキーのみがデフォルトで利用可能です。これにより、追加の作業なしで最大限のセキュリティを提供します。translated

パスキー導入前に組織が確認すべき質問translated

パスキーを導入するかどうかを評価する際、組織は次の項目を自問するべきです:認証器はどのように登録されていますか?「認証器を紛失した」シナリオに対して、安全に対応するプロセスはありますか?ユーザ、アプリケーション、およびデータの分類はどのように行っていますか?

パスキーは多くのMFA(多要素認証)手法の中の一つです。確かに、フィッシング耐性は素晴らしいですが、リモートデスクトップでのログインには対応していますか?

これらの理由から、MFAシステムが単に技術的に最新であるだけでなく、QRコード、生体認証、OTP(ワンタイムパスワード)、プッシュメッセージ、FIDOパスキーなど、幅広いMFA手法をサポートすることが重要です。

また、MFAに関連するプロセスが新しい脅威に適応していることも重要です。これはMFAシステムそのものを超えた問題です。例えば、ヘルプデスクはソーシャルエンジニアリング攻撃から守られていますか?

パスキーの導入が理にかなっていると思われる場合は、お手伝いします。詳細についてはお問い合わせ からご連絡をいただくか、ID Plusの無料45日間トライアルをお申込みください。translated