安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説

今回は「安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Okta Japanは、クラウド型ID管理サービス「Okta Customer Identity Cloud」で提供開始されたパスキーによるパスワードレス認証に関するプレス向け説明会を開催した。

 パスキー(Passkeys)は、「パスワードへの過度の依存を減らすための認証標準という、焦点を絞った使命を持つオープンな業界団体」であるFIDOアライアンスが策定したFIDO認証に基づき、「ユーザーの複数の端末から、より速く、簡単に、そして安全に、ウェブサイトやアプリにログイン・認証するためのパスワードの代わるもの」で、標準的な公開鍵暗号技術を使用して実現している。同社は2023年10月に「Customer Identity Cloud(powered by Auth0)のパスワードレス認証方式として、早期アクセスによるパスキー(Passkeys)のサポート」を発表しており、2024年初めに一般利用が可能になる予定だと公表していた。

 説明を行った同社のプリンシパルデベロッパーアドボケイトの池原大然氏は、ID/パスワードによる認証がパスワードの推測などで簡単に破られてしまうことや、対策としてさまざまな多要素認証(MFA)を導入しても今度はコスト増やユーザーの負担増などの課題が伴うとし、「ユーザーとしてはログインするという行為にいろいろな“摩擦”や“壁”が生じることになる」と指摘した。

 同社が実施したグローバル調査では、グローバルの回答者の65%、日本の回答者の68%が「管理しなければならないユーザー名とパスワードの数に圧倒されている」と回答したという。さらに同氏は、この状況を逆に考えると「この体験を良くすることでビジネスやサービスを成長させる余地があるともいえる」と語り、パスキー導入が事業成長につながるポジティブな意味も持つとした。

 池原氏はパスキーの特徴として、「ID/パスワードは認証を行うサーバー側に保存されるので、サーバー側で情報が漏えいすると不正ログインされてしまう。一方、パスキーはユーザーの手元にあるスマートフォンなどの認証機に秘密鍵が保存され、サーバー側には公開鍵が保存されるので、サーバー側の公開鍵が万一漏えいしたとしても、秘密鍵を復元することは困難」などのポイントを紹介した。

 そのほか「パスキーの認証情報では、ユーザーIDとそれを利用するウェブサイトやアプリケーションなどのひも付いているので、フィッシングサイトなどに誘導された場合でもその資格情報の送信をウェブブブラウザー側で阻止でき、フィッシング耐性がある」「ユーザーは、スマートフォンのロック解除と同様の暗証番号や指紋認証/顔認証といった常に使っている機能で認証できるので、摩擦のない認証体験ができる」「一度登録した認証情報は、クラウドサービスを介してデバイス間で同期でき、デバイスごとに再登録を行う必要はない」などのポイントがあるという。

 同氏は、パスキーの現時点での課題についても触れ、「さまざまなOSやウェブブラウザーでのサポート状況。現在対応が進んでいる最中なので、ユーザーやサービスの環境に合っているかどうかを確認する必要がある」「スマートフォンなどの認証機を持っていない/使えない場合にどう対応するかを考えておく必要がある」「パスキーの導入が進む中で、パスキーの同期の仕組みの実装が望まれている」といった点が指摘された。

 Oktaはアイデンティティー管理プラットフォームを提供するが、2021年5月にAuth0の買収を完了した結果、現在はもともとのOktaのサービスが引き継がれた「Workforce Identity Cloud」とAuth0由来の「Customer Identity Cloud」の2本柱で事業を展開している。もともとOアイデンティティーライズ向けのIDaaSという性格が強かった一方、Auth0はウェブサービス事業者など、自分たちのサイトでエンドユーザーのログイン情報を管理する必要がある組織をユーザーとしてアイデンティティー管理機能を提供するという性格が強かった。

 今回のCustomer Identity Cloudにおけるパスキー機能の提供とは、例えばオンラインバンキングサービスを提供する金融機関のウェブサイトなどがOktaのカスタマーとなってOktaが提供するパスキー認証の機能を自分たちのウェブサイトに組み込んで利用する、という使い方となる。

 もちろん自分たちでアイデンティティー管理機能や認証機能を全て搭載することも不可能ではないが、池原氏はCustomer Identity Cloudを活用するメリットについて、「開発コスト/運用コストを低減できる」「単なる実装だけではなく、セキュリティの担保やメンテナンス、脆弱(ぜいじゃく)性への対応もOktaが責任を持って行う」「新機能を迅速に利用できる」といった点を挙げた。

 パスキーの機能は2024年2月に一般提供開始されているといい、既にCustomer Identity Cloudを利用中のユーザーであれば、「管理画面でこの機能を有効化していただければ即座にパスキー機能を導入できる」という簡便さだという。

 ID/パスワード方式の認証の脆弱さが指摘されるようになって相当な年月が経っているが、簡便なシステムであるがゆえに導入も容易であり、ユーザーも慣れ親しんだ方式ということもあって決別することにはなっていないのが現状だ。しかしながら、現在では誰もが日常的にスマートフォンを使っていると言っていい状況になりつつあり、これを介して安全な認証を行うパスキーはエンドユーザーにとっても導入障壁が低く、「ログインする度に煩雑な操作を要求される」といったクレームも出にくいシステムだといえるだろう。

 Customer Identity Cloudのようなサービスを通じてパスキーを導入するウェブサイトやサービスが増加することで、「分かっていながら脱却できなかった」昔ながらのID/パスワード方式からようやく次のステップに進むことができるのではないだろうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
サムスンにサイバー攻撃、「Galaxy」関連ソースコードが漏えい
IT関連
2022-03-09 07:16
IPv6エンジニア育成を推進する「IPv6基礎検定」が2023年3月より通年実施、小川晃通氏著「プロフェッショナルIPv6第二版」が主教材
IT関連
2022-03-25 22:09
AWS、コンテナに最適化したLinux OS「Bottlerocket」を米国政府セキュリティ標準「FIPS 140-3」に適合へ
AWS
2025-01-15 16:56
赤外線レーザーを応用し採血なしで血糖値を測定可能な非侵襲センサーを開発するライトタッチテクノロジーが1.2億円調達
ヘルステック
2021-07-07 17:39
出前館がシステム基盤刷新–トランザクション処理性能を2倍以上に強化
IT関連
2023-03-24 23:22
英個人情報監督局が公共の場でのライブ顔認証による「ビッグデータ」監視の脅威に警鐘を鳴らす
パブリック / ダイバーシティ
2021-06-29 17:53
グーグル、新たな追跡技術「Topics」を発表–不評の「FLoC」は廃止
IT関連
2022-01-27 20:12
東芝、少量データのオフライン強化学習で複雑なロボット制御を行えるAI技術を開発
IT関連
2024-05-11 21:06
企業の脱炭素「取り組み十分」は1割弱の調査結果に危機感を持て
IT関連
2022-08-26 00:59
UiPathのトップが語る「業務の自動化が進めば人はどうなるか」
IT関連
2023-11-03 18:48
freee、「freee請求書」を提供開始–インボイス制度に対応した請求書の作成を無料で可能に
IT関連
2022-12-15 23:03
日本オラクル、「Oracle Cloud HCM」にEX向上を目指す管理職の支援強化
IT関連
2022-10-07 03:51
550円の「Raspberry Pi Pico」をいじり倒す :名刺サイズの超小型PC「ラズパイ」で遊ぶ(第36回)(1/2 ページ)
アプリ・Web
2021-02-17 17:13
2022年下期のランサムウェアの脅威と対策の傾向
IT関連
2022-12-30 02:55