RSAクラウドセキュリティを無料でお試しください

今すぐID Plusのトライアルを始めてください。

開始する

パスキーは、Google、Apple、Facebook、Meta などの消費者向けサービスによってますます一般的になってきています。パスキーを使用すると、従来のパスワードを利用したログインと比べてセキュリティが大幅に向上します。translated

消費者向けのソリューションがプロフェッショナルな用途に流用されるのはよくあることです。例えば、絵文字リアクションをメールに送ることができるようになったのもその一例です。しかし、Instagramでパスキーを使ってログインできるからといって、ビジネスで使用すべきだというわけではありません。translated

簡潔に言うと、FIDOパスキーは企業での使用に適しているのでしょうか?translated

FIDOアライアンスとは?translated

アメリカの FIDOアライアンス (ファイドアライアンス)は、2013年に設立された組織で、パスワードに代わる強力な認証方法を開発しています。FIDOはその名が示す通り、「Fast Identity Online」を提供し、パスワードレスでの認証を実現しています。translated

FIDOはその後、急速に広まり、多くの大手企業が支持する認証方法となっています。特にApple、Google、PayPal、Microsoftなどが積極的に利用していますRSAもFIDO Allianceのメンバー で、Enterprise Deployment Working Groupの共同議長を務めています)。translated

FIDO認証は非対称鍵ペアを使用してサービスにログインします。FIDO認証情報がサービスに登録されると、新しい鍵ペアがFIDO認証器で生成され、その鍵ペアだけがサービスに信頼されます。この鍵ペアはサービスの正確なドメイン名に結びつけられます。translated

サービスとFIDO認証情報との厳密なペアリングにより、高度なフィッシング耐性が実現されています。例えば、ユーザーが実際のサイトとは異なるフィッシングサイトでログインしようとしても、ドメイン名が一致しないためログインに失敗します。translated

パスキーとは?translated

2022年にはApple、Google、Microsoftが 「パスキー」という新しいタイプのFIDO認証をサポートすることを発表しました。2023年にはFIDO Allianceが「パスキー」という用語をすべてのFIDO認証情報を指す言葉として採用しましたが、これにより「パスキー」が指す意味が曖昧と感じる時もあるかもしれません。translated

この曖昧さはFIDO Allianceによって対処されていますが、組織内での理解が統一されていない場合もあります。この曖昧さを解消することは重要です。なぜなら、すべてのパスキーが同じではなく、企業利用に適しているわけではないからです。translated

パスキーのタイプtranslated

FIDOアライアンスによって定義されたパスキーには、現在2種類あります: デバイスに結び付けられたもの(デバイスバウンド)と同期されたもの(シンクド)です。translated

デバイスバウンドパスキーとシンクドパスキーの違いtranslated

デバイスバウンドのパスキーは、一般的に特定の「セキュリティキー」がデバイスだけに存在します。デバイスバウンドのパスキーでは、鍵が1つのデバイス上で生成され、そのデバイス内にのみ保存されます。さらに、鍵の情報自体がそのデバイスを離れることはありません。translated

シンクドパスキーでは、鍵の情報がいわゆるリモート同期プラットフォームを通じて保存され、その後、同じユーザが所有する他のデバイスに復元することができます。現在の主要な同期されるプラットフォームには、Microsoft、Google、Appleがあります。つまり、例えばAndroidスマートフォンをパスキーとして登録した場合、対応する鍵情報は間もなく他のすべてのAndroidデバイスでも利用可能になります。translated

シンクドパスキーは、WhatsAppやFacebookといった広く使用されているサービスに対応していることに加え、パスキーの一般的な利用が急増している主な理由の1つです。その理由は明白です。多数のアカウントとデバイスを持つ1人のユーザが、すべてのデバイス間で同じシンクドパスキーを使用できるからです。translated

パスキーのベネフィットtranslated

パスキーは優れた多要素認証(MFA)が利用できることです。フィッシング耐性があり、高速で便利で、すでにユーザにとって馴染みのある方法です。現在、特に注目されているパスキーのベネフィットは、フィッシング耐性です。translated

パスキーは、従来のフィッシングを防ぐのに役立ちます。パスワードが使用されていなければ、盗まれるパスワードも存在しないからです。他のパスワードレスのMFAでも同様のことが言えますが、パスキーは同期された鍵とサービスドメインの一致によって追加のセキュリティレベルが提供されるという利点があります。translated

アメリカでは、フィッシング耐性が重要な要素となっており、 エグゼクティブオーダー14028 では、重要なインフラを保護するためにフィッシング耐性のあるパスワードレス認証が求められています。translated

パスキーのチャレンジtranslated

パスキーは大きな利点を提供しますが、いくつかの重要な課題や問題も伴います。translated

ユーザ エクスペリエンスtranslated

消費者向けに発展してきたソリューションであるため、ユーザガイダンスやユーザエクスペリエンスが課題になることがあります。translated

例えば、ユーザにパスキーをUSBポートに挿入させる、またはPINを入力させるダイアログは、オペレーティングシステムやブラウザによって異なります。これらのプロンプトは、ユーザのトレーニングやサポートコールの最小化を難しくする可能性があります。translated

「プロンプトを変更すればいいのでは?」と思うかもしれませんが、RSAのようなサードパーティのサービスプロバイダーにはそれができません。これらのプロンプトは、ブラウザやOSベンダー(例えば、iOSではApple、ChromeではGoogleなど)自身によって設定されているためです。これには正当な理由があります。もしベンダーがプロンプトを変更できるのであれば、攻撃者もそれを利用してユーザーを監視するための改良されたフォームを作成する可能性があるからです。これらのログインプロンプトを固定しておくことは重要なセキュリティ対策ですが、結果として一律的なアプローチになってしまう場合もあります。translated

多様な攻撃から注意を逸らすtranslated

高いフィッシング耐性は明確な利点ですが、それで万全というわけではありません。パスキーを使用すれば、すぐにソーシャルエンジニアリング攻撃から免れると考えるのは誤りです。パスキーはフィッシングという特定の社会工学的攻撃に対抗する助けになりますが、他のバリエーションも存在します。例えば、 MGMリゾーツ いただくか、 Caesars Palace などラスベガスでの攻撃は、MFA認証器の登録を許可するために ヘルプデスクを悪用する など、ソーシャルエンジニアリングな要素が含まれていました。translated

攻撃者は当然のように適応します。MFA(多要素認証)の普及により、フィッシングの魅力が大幅に低下したため、ユーザの登録方法など、MFAシステムに関連する脆弱性が悪用されるのは自然な流れです。パスキーがこれらの問題を解決すると考える人がいるとすれば、それは大きな間違いです。translated

クロスプラットフォーム互換性とモバイルセキュリティの確保translated

今日のパスキーが、さまざまなブラウザ、デバイス、オペレーティングシステム間で均一なワークフローを提供する際に直面する課題を考慮すると、業界はどのようにして本当にシームレスでクロスプラットフォームな体験を確保できるのでしょうか? ユーザを混乱させ、広範な採用を妨げる可能性のある不整合を解決するための最良の方法はどのように判断できるのでしょうか? RSAでは、私たちのUXリーダーシップがFIDOアライアンスのワーキンググループに積極的に参加し、一貫したユーザーエクスペリエンスを支持しています。私たちの洞察を提供することによって、最終的なユーザにとって、より少ない気を散らす要素、摩擦の少ない体験、そしてより均一な体験を実現するための基準づくりに貢献することを目指しています。translated

モビリティは、さまざまな環境でシームレスなパスキー体験を作り出すためのもう一つの側面です。ワークフォースのユーザは、ますますモバイルファーストのワークフローの利便性を期待しています。スマートフォンで企業のリソースにアクセスすることが、そのデバイスをロック解除するのと同じくらい直感的であれば、FIDOパスキーのような新しい認証方法の採用は大幅に容易になります。摩擦のないモバイル体験は、ユーザーの抵抗を打破し、学習曲線を最小限に抑え、パスワードからの移行をスムーズにします。ユーザーのデバイスやプラットフォームに関係なく、親しみやすく、権限について透明で、一貫したインターフェースを提供することにより、組織は混乱を減らし、信頼を高めることができます。RSAのモバイルFIDOソリューションは、デバイスに依存しない方法でFIDOパスキーを実装する方法の一例です。translated

同期基盤とサイバーセキュリティの脆弱性translated

「ハンマーを持っていると、すべてが釘に見える」と言われます。消費者向けに元々設計された優れたソリューションであっても、それを企業向けアプリケーションに転用することは、重大なリスクを引き起こす可能性があります。translated

この記事を読んでいるとき、「同期基盤」という言葉に不安を感じたかもしれません。あなたの直感は正しいと思います。translated

パスキーがAppleやGoogleを通じてユーザがログインしているすべてのデバイスにまるで魔法のように現れるという事実は、企業環境では大きな警告となり、いくつかの重要な疑問を引き起こすはずです:translated

  • translatedユーザは認証に複数のデバイス(おそらく個人的に使用するデバイスも含む)を使用することを許可すべきでしょうか? もし許可するのであれば… 何台まで許可すべきでしょうか?
  • シンクドパスキーは、例えばGoogleやAppleのアカウント復旧プロセスを使って「失われた」パスキーを復元することを可能にします。それは素晴らしいことですが、これらのプロセスはあなたにとって十分に安全なのでしょうか?translated
  • ユーザがパスキーを友人や家族と共有できるAppleの機能は非常に便利ですが、これは企業向けアプリケーションにログインするために使用されるパスキーにも適用されるのでしょうか?translated

 

translated同期されたパスキーを使用する場合、企業のセキュリティは突然、AppleやGoogleの技術的、組織的なセキュリティに大きく依存することになります。確かに、iOSやAndroidを使用している以上、ある程度の依存はありますが、同期されたパスキーはこの依存度を大幅に高めます。

これは理論的な脆弱性ではありません。昨年、Retoolは攻撃者がそれを利用して自社のシステムにアクセスした方法について議論しました。 Retool は、この機能が「もしあなたのGoogleアカウントが侵害されれば、MFAコードも同様に侵害されることになる」と記述しています。translated

これは理論上の脆弱性ではありません。昨年、 Retool は、脅威アクターが同社のシステムにアクセスするためにこの機能をどのように利用したかを説明しました。Retoolは、この機能により「Googleアカウントが危険にさらされると、MFAコードも危険にさらされる」と述べています。translated

パスキーは企業での使用に適しているのか、適していないのか?translated

パスキーを企業で使用すべきかどうかは、一般的に答えることはできません。各組織は異なり、独自のセキュリティと運用の優先事項をバランスさせる必要があります。translated

さらに、パスキーを使用するかどうかは、単なる「はい/いいえ」の問題ではありません。パスキーやパスワードレスログインの導入は、組織全体のMFAプロセスを根本的に見直すために活用されるべきです。15年間にわたりハードウェアOTPトークンに適していたことが、今日のパスキーやその他のMFAにはもはや完全には当てはまらないかもしれません。translated

RSAは、パスキーが組織の戦略に合致し、以下の質問に対する答えを慎重に考慮すれば、企業での使用に導入できると考えています。私たちは、組織がパスキーを成功裏に使用しているのを見てきました。 RSA® ID Plusを使用して、パスキーを活用して導入している組織も見られます。これは、さまざまなパスワードレスオプションを提供する包括的なアイデンティティおよびアクセス管理(IAM)プラットフォームです。translated

私たちはセキュリティを最優先する組織であり、Secure by Design / Secure by Defaultの原則を採用しているため、デフォルトでシンクドパスキーの使用を禁止しています。RSAの環境では、デフォルトでデバイスバウンドパスキーのみが利用可能で、これにより管理者の追加作業なしで最大レベルのセキュリティを提供しています。
translated

パスキーを使用する前に組織が尋ねるべき質問translated

パスキーを導入するかどうかを評価する際、組織は次のような質問をするべきです:認証器はどのように登録されていますか?「認証器を紛失した」 translatedというシナリオに安全に対処するプロセスはありますか?ユーザ、アプリケーション、データの分類についてはどうでしょうか?

translatedパスキーは多くのMFAの手段のうちの一つです。確かに、そのフィッシング耐性は素晴らしいですが、ユーザはそれを使ってリモートデスクトップにログインすることができるのでしょうか?

translatedこれらの理由やその他多くの理由から、あなたのMFAシステムは単に技術的に最新であるだけでなく、QRコード、生体認証、OTP、プッシュメッセージ、FIDOパスキーなど、さまざまなMFAの手段をサポートしていることが重要です。

MFAに関するプロセスが新しい脅威に適応していることも重要です。これは実際のMFAシステムだけにとどまらず、ヘルプデスクもソーシャルエンジニアリング攻撃から安全であるかどうかということにも関わります。translated

パスキーの導入が理にかなっていると思われる場合は、お手伝いします。詳細についてはお問い合わせ からご連絡をいただくか、ID Plusの無料45日間トライアルをお申込みください。translated