KNOWLEDGE - COLUMN ナレッジ - コラム

パスワードの仕組み/FIDO認証によるパスワードレス化のメリットとは?

col226_main

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

株式会社IDデータセンターマネジメント
上坂 明                                                           顔写真2_1187x1313

こんにちは。IDデータセンターマネジメントの上坂です。
 
少し前となりますが、毎年5月第1木曜日は「世界パスワードの日(World Password Day)」でした。2013年にIntel Security 社(現McAfee社)が提言した啓語活動となります。
 
パスワードの扱い・利用方法を改める意味を込め、今回のテーマは「パスワード」について
書かせて頂こうと思います。

パスワードによる認証

パスワードは「正規な利用者であるかどうかを認証するために、あらかじめ決めた文字列」であり、「合言葉」を意味します。あらゆる場所で利用され、メール・Webサイト等のログイン、銀行口座の暗証番号、アナログなものでは郵便ポストのダイヤルロック、ダイヤル型の南京錠 等様々です。
 
パスワードは最も簡単な認証方式であり、「どんな場面でも簡単に利用できる」という特徴を備えています。
―Any Device(デバイスを選ばない)
―All Place(場所を選ばない)
―All Free(無料で利用できる)
 
簡単に利用できる反面、認証方式としては脆弱な認証方式となります。
例えば4桁の数字ダイヤル型のパスワードであれば、1万通り試せば開錠可能であり、力技での開錠が可能です。不適切な利用でパスワードが漏洩することもあります。
 
パスワード利用の推奨としては以下のものが挙げられます。

  1. パスワードを複数のアカウントで使い回さない。
  2. パスワードは 12 文字以上、複数の英字(大文字・小文字)数字、記号を組み合わせる。
  3. 他人に知られている情報、簡単に推測される情報からパスワードを作成しない。
  4. パスワードの作成、保存、保護のために パスワード管理ツールを使用する。
  5. MFA(多要素認証)を利用する。
パスワード設定要件のうち、①は最も重要な要素となります。IPAリリースの「情報セキュリティ10大脅威 2022」にてランクインした「スマホ決済の不正利用(第5位)」、「インターネット上のサービスへの不正ログイン(10位)」はパスワードを使いまわすことが原因となる「パスワードリスト攻撃」が攻撃手口となっています。
個人情報保護制度見直しの全体像
【出典:IPA 情報セキュリティ 10大脅威 2022(※外部サイト)】
【 参考:IPA 情報セキュリティ 10大脅威 2022 解説書(※外部サイト)】
パスワードリスト攻撃は、何らかの手段で入手したIDとパスワードのリストを用いてログインを試みる攻撃です。複数サービスで同じID・パスワードを利用している場合、不正にログインすることが可能となります。
現在、一人のユーザが利用するIDとパスワードの組み合わせは「200以上」とも言われており、そもそも覚えられないことから強度の低いパスワード(短い桁数・記念日等の推測されやすいパスワード)が設定されやすい状況であると言えます。

適切なパスワード利用のルール・ポリシー

パスワードの運用に関するガイドラインとして、「CIS Password Policy Guide(※外部サイト)や「NISC(内閣サイバーセキュリティセンター)発行のハンドブック(※外部サイト)」があります。
 
上記サイトから、パスワード設定に関する要件・ポイントを下図の通りまとめました。

CIS NISC
パスワード長(最小)
  • 14文字以上
  • MFA利用:8文字以上
  • 10桁以上
パスワード構成
  • 非アルファベットを一種類以上
  • MFA利用:制限なし
  • 英大文字小文字+数字+記号混じりの組み合わせ
パスワードの有効期限
  • 1年間
  • 何らかのイベントがあれば即時変更
  • 設定不要。定期的な変更は不要
  • 流出時は速やかに変更する
設定パスワードの要件
  • 上位20位の脆弱なパスワード不可
  • 過去5回以内に設定したパスワード不可
  • 1日以内の頻度でのパスワード変更不可
  • パスワードの使いまわし不可
  • 推測されやすいパスワード不可
※MFA(多要素認証)
パスワード定期変更については、強制的な変更ルールを設けた場合、ユーザは以前使用したパスワードを元に、推測しやすいパスワード(下一桁を変更 等)に変更しやすいという調査結果があります。十分な強度であるパスワードなら、定期的な変更は不要というのが主流です。
 
ただし、パスワード長については注意が必要です。昨今のWebシステム・クラウドサービスであれば文字数制限はあまり気にしなくて良いですが、社内レガシーシステム等で古いOS(UNIX)を利用している場合は、最大8桁までのパスワードしか設定できません。
システム上の制約が無いか一度確認することをお勧めします。
 
また、設定パスワードの要件にある「脆弱なパスワード」とは、過去の漏えい事件から流出したパスワードや、最も設定されている(推測されやすい)パスワードが該当します。
いずれも、キーボードの「特定配列、123456、password」等の簡単なパスフレーズが多い状況です。
 
【参考:21年に漏えいした日本のパスワード (※外部サイト)】
 
【参考:2021年度版 最も設定されているパスワードランキング】
【出典:Nord Pass 2021 Top 200 most common passwords(※外部サイト)より筆者編集】

MFA(多要素認証)の活用

パスワードだけでセキュリティを担保することには限界があり、MFA(多要素認証)を併せた利用が推奨されています。MFAは「知識情報」、「所持情報」、「生体情報」のうち、二つ以上を組み合わせた認証方式です。
 
パスワードは知識情報に分類され、所持情報はPC・スマートデバイス等の固有情報(MACアドレス等)や、トークン(ワンタイムパスワード生成)が該当します。生体情報は顔認証、指紋、静脈、虹彩(網膜)等があります。
 
例えば銀行のATMでお金をおろす場合、ATMカードは所持情報、暗証番号は知識情報となり、
2要素認証となります。生体認証機能付きカード(指静脈での認証等)を利用する場合は3要素認証となり、一時期話題となったATMカードスキミングによるカード情報の抜き取り、パスワードの覗き見の対策となります。
 
対して認証要素数を問わない二段階認証(パスワード + PINコードの入力 等)があります。
MFAと異なり、知識情報が洩れてしまった場合の対策とはならないので、複数要素を組み合わせての運用が推奨されます。

パスワードレス認証

パスワードを必要としないパスワードレス認証の取り組みも進んでいます。
2022年5月、Apple、Google、Microsoftは、FIDO Alliance、およびWorld Wide Web Consortium(W3C)が策定した標準規格(FIDO認証)に対し、新たな拡張機能のサポートを行うことを発表しました。
 
このFIDO認証ですが、サービスを提供するサーバ側で利用者の所持するデバイスの認証を行い、デバイス側で生体情報による本人確認を実施する2要素認証となります。
 
認証要素は「所持情報」、「生体情報」。認証方式は公開鍵暗号方式となります。
事前にキーペアを作成し、公開鍵をサーバ側に登録、秘密鍵(パスキー)はデバイスにロックされた状態で保存します。ロックは利用者本人による生体情報で解除されるため、本人以外ではログインできない仕組みとなります。
【参考】FIDO認証の流れ
FIDO認証モデル
FIDO認証の流れ
【出典:総務省 マイナンバーカードの機能のスマートフォン搭載等に関する検討会(第2回)配布資料7(※外部サイト) より抜粋】

FIDO認証方式のメリットは「ユーザがパスワードを覚える必要が無い」という点に尽きます。
 
当認証に対し、各社が発表した拡張サポートは以下2点です。
-スマートフォン以外のPCからでもFIDO認証情報にアクセス可能とする。
-モバイルデバイスでFIDO認証を使い、PC・アプリ、Webサイトにログイン可能とする。
 
拡張サポートが実装されれば、PCからWebサイトのログイン時にスマートフォンの指紋認証や顔認証でログイン可能となり、ユーザはパスワードの管理が不要となります。
FIDO認証のサポート拡大は、2023年頃を目途で進められています。
 
【参考:Apple社プレスリリース(※外部サイト)】

まとめ

FIDO認証は、AppleのFace IDやTouch IDを利用したWebログイン等が身近な実装例となります。一般利用されている技術であり、ユーザも比較的受け入れやすいものではないかと思います。
 
パスワード管理は利用ユーザだけではなく、パスワード失効によるリセット対応等、システム管理者も永らく苦しめてきた存在です。パスワード管理に費やす工数は膨大であり、今回紹介したFIDO認証の拡張機能が実装されれば、利用されるパスワードの数も減少し、管理工数も大きく削減できるものと考えます。
 
最後までお付き合い頂き、ありがとうございました。

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。

メルマガ登録ボタン


上坂 明

株式会社IDデータセンターマネジメント テクニカルスペシャリスト

この執筆者の記事一覧

関連するソリューション

サイバーセキュリティ

ID-Ashura/セキュリティサービス

関連するナレッジ・コラム

情報セキュリティ教育とは?その必要性や学習テーマ事例、実施時のポイントなどを解説

標的型攻撃メールとは?見分けるポイントや実施すべき対策方法について解説

Society 5.0を支える認証基盤-トラストサービス