安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説

今回は「安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Okta Japanは、クラウド型ID管理サービス「Okta Customer Identity Cloud」で提供開始されたパスキーによるパスワードレス認証に関するプレス向け説明会を開催した。

 パスキー(Passkeys)は、「パスワードへの過度の依存を減らすための認証標準という、焦点を絞った使命を持つオープンな業界団体」であるFIDOアライアンスが策定したFIDO認証に基づき、「ユーザーの複数の端末から、より速く、簡単に、そして安全に、ウェブサイトやアプリにログイン・認証するためのパスワードの代わるもの」で、標準的な公開鍵暗号技術を使用して実現している。同社は2023年10月に「Customer Identity Cloud(powered by Auth0)のパスワードレス認証方式として、早期アクセスによるパスキー(Passkeys)のサポート」を発表しており、2024年初めに一般利用が可能になる予定だと公表していた。

 説明を行った同社のプリンシパルデベロッパーアドボケイトの池原大然氏は、ID/パスワードによる認証がパスワードの推測などで簡単に破られてしまうことや、対策としてさまざまな多要素認証(MFA)を導入しても今度はコスト増やユーザーの負担増などの課題が伴うとし、「ユーザーとしてはログインするという行為にいろいろな“摩擦”や“壁”が生じることになる」と指摘した。

 同社が実施したグローバル調査では、グローバルの回答者の65%、日本の回答者の68%が「管理しなければならないユーザー名とパスワードの数に圧倒されている」と回答したという。さらに同氏は、この状況を逆に考えると「この体験を良くすることでビジネスやサービスを成長させる余地があるともいえる」と語り、パスキー導入が事業成長につながるポジティブな意味も持つとした。

 池原氏はパスキーの特徴として、「ID/パスワードは認証を行うサーバー側に保存されるので、サーバー側で情報が漏えいすると不正ログインされてしまう。一方、パスキーはユーザーの手元にあるスマートフォンなどの認証機に秘密鍵が保存され、サーバー側には公開鍵が保存されるので、サーバー側の公開鍵が万一漏えいしたとしても、秘密鍵を復元することは困難」などのポイントを紹介した。

 そのほか「パスキーの認証情報では、ユーザーIDとそれを利用するウェブサイトやアプリケーションなどのひも付いているので、フィッシングサイトなどに誘導された場合でもその資格情報の送信をウェブブブラウザー側で阻止でき、フィッシング耐性がある」「ユーザーは、スマートフォンのロック解除と同様の暗証番号や指紋認証/顔認証といった常に使っている機能で認証できるので、摩擦のない認証体験ができる」「一度登録した認証情報は、クラウドサービスを介してデバイス間で同期でき、デバイスごとに再登録を行う必要はない」などのポイントがあるという。

 同氏は、パスキーの現時点での課題についても触れ、「さまざまなOSやウェブブラウザーでのサポート状況。現在対応が進んでいる最中なので、ユーザーやサービスの環境に合っているかどうかを確認する必要がある」「スマートフォンなどの認証機を持っていない/使えない場合にどう対応するかを考えておく必要がある」「パスキーの導入が進む中で、パスキーの同期の仕組みの実装が望まれている」といった点が指摘された。

 Oktaはアイデンティティー管理プラットフォームを提供するが、2021年5月にAuth0の買収を完了した結果、現在はもともとのOktaのサービスが引き継がれた「Workforce Identity Cloud」とAuth0由来の「Customer Identity Cloud」の2本柱で事業を展開している。もともとOアイデンティティーライズ向けのIDaaSという性格が強かった一方、Auth0はウェブサービス事業者など、自分たちのサイトでエンドユーザーのログイン情報を管理する必要がある組織をユーザーとしてアイデンティティー管理機能を提供するという性格が強かった。

 今回のCustomer Identity Cloudにおけるパスキー機能の提供とは、例えばオンラインバンキングサービスを提供する金融機関のウェブサイトなどがOktaのカスタマーとなってOktaが提供するパスキー認証の機能を自分たちのウェブサイトに組み込んで利用する、という使い方となる。

 もちろん自分たちでアイデンティティー管理機能や認証機能を全て搭載することも不可能ではないが、池原氏はCustomer Identity Cloudを活用するメリットについて、「開発コスト/運用コストを低減できる」「単なる実装だけではなく、セキュリティの担保やメンテナンス、脆弱(ぜいじゃく)性への対応もOktaが責任を持って行う」「新機能を迅速に利用できる」といった点を挙げた。

 パスキーの機能は2024年2月に一般提供開始されているといい、既にCustomer Identity Cloudを利用中のユーザーであれば、「管理画面でこの機能を有効化していただければ即座にパスキー機能を導入できる」という簡便さだという。

 ID/パスワード方式の認証の脆弱さが指摘されるようになって相当な年月が経っているが、簡便なシステムであるがゆえに導入も容易であり、ユーザーも慣れ親しんだ方式ということもあって決別することにはなっていないのが現状だ。しかしながら、現在では誰もが日常的にスマートフォンを使っていると言っていい状況になりつつあり、これを介して安全な認証を行うパスキーはエンドユーザーにとっても導入障壁が低く、「ログインする度に煩雑な操作を要求される」といったクレームも出にくいシステムだといえるだろう。

 Customer Identity Cloudのようなサービスを通じてパスキーを導入するウェブサイトやサービスが増加することで、「分かっていながら脱却できなかった」昔ながらのID/パスワード方式からようやく次のステップに進むことができるのではないだろうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
スーパーボウルCMにメルカリ初出稿、GameStop騒動で注目が集まるRedditやRobinhoodなども
ネットサービス
2021-02-09 15:00
北海道国保連と日立、「健康・医療情報分析プラットフォーム」を本格稼働–全世代型予防・健康づくりを推進
IT関連
2023-04-05 21:17
日立製作所、「OT×IT」強化に向けグローバルで組織を再編
IT関連
2023-10-29 21:57
“剣盾”のポケモンと主要キャラをすべて歩数計に 計132モデル、タニタが受注生産
くらテク
2021-04-03 21:23
イーロン・マスク氏率いるスペースX、ウクライナの要請に応じスターリンク通信と端末提供―ただし有効性に疑問の声も
IT関連
2022-03-01 13:39
中国がアプリによる過剰なユーザーデータ収集を5月から禁止
パブリック / ダイバーシティ
2021-03-24 17:49
「ランサムウェアは世界が直面する最大のサイバー脅威」–英NCSCのトップが警告
IT関連
2022-06-30 17:58
気付いたら、DX–「Slack」を軸としたディップの業務改善ストーリー
IT関連
2023-05-19 01:39
シスコ「Webex」、ウェルビーイング重視へ「People Insights」強化
IT関連
2021-04-02 18:35
WebAssemblyアプリ開発で最も使われている言語はRust C++、AssemblyScript、Blazor、Goが続く
クラウドユーザー
2021-07-03 08:02
富士通ら、漢検協会のデジタル学習コンテンツを提供–「GIGAスクール構想」に対応
IT関連
2021-04-15 23:24
Samsung Galaxy S21シリーズ発表、カメラ強化とS Pen対応で約2.1万円値下げ
ハードウェア
2021-01-16 01:22
Google CloudのPrometheusマネージドサービスが正式版に。6京5000兆のポイントを保持するバックエンド上に構築、事実上無限の指標に対応可能
Google
2022-03-09 12:09
日本パープル、アドビの電子サインサービスと契約書管理「ConPass」を連携
IT関連
2022-07-05 20:37