安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説

今回は「安全で摩擦のないログインプロセスを実現–Okta、パスキーによる認証解説」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Okta Japanは、クラウド型ID管理サービス「Okta Customer Identity Cloud」で提供開始されたパスキーによるパスワードレス認証に関するプレス向け説明会を開催した。

 パスキー(Passkeys)は、「パスワードへの過度の依存を減らすための認証標準という、焦点を絞った使命を持つオープンな業界団体」であるFIDOアライアンスが策定したFIDO認証に基づき、「ユーザーの複数の端末から、より速く、簡単に、そして安全に、ウェブサイトやアプリにログイン・認証するためのパスワードの代わるもの」で、標準的な公開鍵暗号技術を使用して実現している。同社は2023年10月に「Customer Identity Cloud(powered by Auth0)のパスワードレス認証方式として、早期アクセスによるパスキー(Passkeys)のサポート」を発表しており、2024年初めに一般利用が可能になる予定だと公表していた。

 説明を行った同社のプリンシパルデベロッパーアドボケイトの池原大然氏は、ID/パスワードによる認証がパスワードの推測などで簡単に破られてしまうことや、対策としてさまざまな多要素認証(MFA)を導入しても今度はコスト増やユーザーの負担増などの課題が伴うとし、「ユーザーとしてはログインするという行為にいろいろな“摩擦”や“壁”が生じることになる」と指摘した。

 同社が実施したグローバル調査では、グローバルの回答者の65%、日本の回答者の68%が「管理しなければならないユーザー名とパスワードの数に圧倒されている」と回答したという。さらに同氏は、この状況を逆に考えると「この体験を良くすることでビジネスやサービスを成長させる余地があるともいえる」と語り、パスキー導入が事業成長につながるポジティブな意味も持つとした。

 池原氏はパスキーの特徴として、「ID/パスワードは認証を行うサーバー側に保存されるので、サーバー側で情報が漏えいすると不正ログインされてしまう。一方、パスキーはユーザーの手元にあるスマートフォンなどの認証機に秘密鍵が保存され、サーバー側には公開鍵が保存されるので、サーバー側の公開鍵が万一漏えいしたとしても、秘密鍵を復元することは困難」などのポイントを紹介した。

 そのほか「パスキーの認証情報では、ユーザーIDとそれを利用するウェブサイトやアプリケーションなどのひも付いているので、フィッシングサイトなどに誘導された場合でもその資格情報の送信をウェブブブラウザー側で阻止でき、フィッシング耐性がある」「ユーザーは、スマートフォンのロック解除と同様の暗証番号や指紋認証/顔認証といった常に使っている機能で認証できるので、摩擦のない認証体験ができる」「一度登録した認証情報は、クラウドサービスを介してデバイス間で同期でき、デバイスごとに再登録を行う必要はない」などのポイントがあるという。

 同氏は、パスキーの現時点での課題についても触れ、「さまざまなOSやウェブブラウザーでのサポート状況。現在対応が進んでいる最中なので、ユーザーやサービスの環境に合っているかどうかを確認する必要がある」「スマートフォンなどの認証機を持っていない/使えない場合にどう対応するかを考えておく必要がある」「パスキーの導入が進む中で、パスキーの同期の仕組みの実装が望まれている」といった点が指摘された。

 Oktaはアイデンティティー管理プラットフォームを提供するが、2021年5月にAuth0の買収を完了した結果、現在はもともとのOktaのサービスが引き継がれた「Workforce Identity Cloud」とAuth0由来の「Customer Identity Cloud」の2本柱で事業を展開している。もともとOアイデンティティーライズ向けのIDaaSという性格が強かった一方、Auth0はウェブサービス事業者など、自分たちのサイトでエンドユーザーのログイン情報を管理する必要がある組織をユーザーとしてアイデンティティー管理機能を提供するという性格が強かった。

 今回のCustomer Identity Cloudにおけるパスキー機能の提供とは、例えばオンラインバンキングサービスを提供する金融機関のウェブサイトなどがOktaのカスタマーとなってOktaが提供するパスキー認証の機能を自分たちのウェブサイトに組み込んで利用する、という使い方となる。

 もちろん自分たちでアイデンティティー管理機能や認証機能を全て搭載することも不可能ではないが、池原氏はCustomer Identity Cloudを活用するメリットについて、「開発コスト/運用コストを低減できる」「単なる実装だけではなく、セキュリティの担保やメンテナンス、脆弱(ぜいじゃく)性への対応もOktaが責任を持って行う」「新機能を迅速に利用できる」といった点を挙げた。

 パスキーの機能は2024年2月に一般提供開始されているといい、既にCustomer Identity Cloudを利用中のユーザーであれば、「管理画面でこの機能を有効化していただければ即座にパスキー機能を導入できる」という簡便さだという。

 ID/パスワード方式の認証の脆弱さが指摘されるようになって相当な年月が経っているが、簡便なシステムであるがゆえに導入も容易であり、ユーザーも慣れ親しんだ方式ということもあって決別することにはなっていないのが現状だ。しかしながら、現在では誰もが日常的にスマートフォンを使っていると言っていい状況になりつつあり、これを介して安全な認証を行うパスキーはエンドユーザーにとっても導入障壁が低く、「ログインする度に煩雑な操作を要求される」といったクレームも出にくいシステムだといえるだろう。

 Customer Identity Cloudのようなサービスを通じてパスキーを導入するウェブサイトやサービスが増加することで、「分かっていながら脱却できなかった」昔ながらのID/パスワード方式からようやく次のステップに進むことができるのではないだろうか。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Rust言語を、人命に関わるような決定的に安全性が重要なシステムに使用することをサポートする「Safety-Critical Rust Consortium」設立
Rust
2024-06-25 21:45
「GNU」とフリーソフトウェア財団の40年を振り返る
IT関連
2023-10-04 01:42
マイクロソフトの3Q決算、クラウドなど好調–「Microsoft Cloud」は32%増
IT関連
2022-04-28 10:37
サムスン、12nmクラスDDR5 DRAMを発表–2023年から量産へ
IT関連
2022-12-24 21:23
食事内容を基にAIが作曲、栄養バランスが良ければ「いい曲」に? サントリーが新サービス
企業・業界動向
2021-07-17 03:35
AIによる変革はあらゆる分野に–6社の事例に見るプロセスの改善と利点
IT関連
2023-11-10 11:54
国内5G市場、産業分野はローカル5Gの価格低価やメタバースなどへの活用拡大–IDC Japan
IT関連
2022-05-18 00:21
クラウドからオンプレミスへ回帰した理由は? クラウドとの通信費用の高さや、クラウド移行ありきなどが課題。ノークリサーチが中堅中小企業を調査
クラウド
2024-03-28 23:14
中国でここまで進んでいる「ブロックチェーンECセール」とは何か (1/3 ページ)
くわしく
2021-06-20 15:48
ダブリンのExergynは形状記憶合金を使って温室効果ガスの原因となる冷媒を代替
IT関連
2022-01-23 06:04
オンラインで競技人口増やせ フィンランド発祥スポーツ「AGG」
IT関連
2021-04-22 13:39
責任あるAIの実現には多面的なアプローチが必要–MIT SMR誌レポート
IT関連
2023-07-01 05:16
AWS、企業向けAIチャットボット「Amazon Q」を発表
IT関連
2023-12-01 01:51
[速報]マイクロソフト、無料でRPA機能「Power Automate Desktop」をWindows 10ユーザーに提供開始。Microsoft Ignite 2021
Microsoft
2021-03-03 18:08