少しだけパスワードの必要ない世界に向かう

2019.09.19

こんにちは、IT推進室 畠山です。

現在導入を検討しているUEM製品のMobileIronには、「Zero Sign On」という機能が搭載されています。

今回は、パスワードの必要ない世界に向かうというタイトルですが、パスワードの必要ない世界とは、どんな世界なのか、またそれを実現する技術について書きたいと思います。

「少しだけ」とついている理由については、読み進めていただけるとご理解いただけるかとい思います。

これまでのユーザー識別

今現在でも、多くのクラウドサービスではユーザを識別するためにIDとパスワードを使用して、本人確認を行なっていると思います。

また、IDプロバイダサービスを使用したSSO(シングル・サイン・オン)によって、ユーザ認証をひとまとめにするサービスを利用している企業も多いと思います。

しかし、IDやパスワードは漏洩するリスクも多く、クラウドサービス業者の中にはそれによって多大な損失を負った企業も少なくありません。

2要素認証と2段階認証の導入

それらのリスクに対応するために、2要素認証や2段階認証という技術が導入されています。

正確には、2要素認証と2段階認証は別なもので、2要素認証とは、3つの要素(例えば、知識認証(ID&パスワード)、所有物認証(ユーザが持っているデバイス)、生体認証(ユーザの身体)など)のうち、2つの要素を同時に認証することを指します。 もう一つの2段階認証は、例えば知識認証した後に、所有物(例えば携帯電話等)にSMSでデータを送信し認証画面にそれを入力することでもう一度認証する方法です。

どちらの認証方式も、個人の所有物を使用する必要があったり、個人情報を使用するため企業での導入には検討が必要な場合もあります。

また、これらの方式ではパスワードの入力は無くすことはできません。

パスワードを使用しない認証とは

そこで登場してきたのが、パスワードを使用せずに認証できる方式です。

冒頭でお話しした、現在導入を検討しているMobileIronの「Zero Sign On」が真にこれにあたります。

具体的には、極一般的にインターネットのSSL通信等で既に実用化されている証明書の技術を活用し、デバイスやユーザを特定する方法になります。

では、実際にSaaSアプリケーションへのアクセス開始から実際にSaaSアプリケーションサイトが開くまでの手順を説明します。

  1. 認証に使用する証明書は、事前にUEMサーバ等でユーザ毎に生成してデバイスにプロファイルとして登録しておきます。

  2. この時、同時にユーザ情報も証明書に一緒に組み込みます。

  3. 次に、許可されたSaaSアプリケーションにアクセスが開始された時に認証を行うIdプロバイダの代理を行うプロキシサーバ(以下、IdPプロキシ)にてデバイスから取得した証明書を使用して認証を行います。

  4. この時、バックグラウンドで自動的にIdPプロキシとVPN接続が行われます。

  5. その結果、デバイスが登録済みのものであることと、許可されたSaaSアプリケーションであること証明書内のユーザにアクセスの権限があることを認証します。

  6. この時点で、認証はパスしているので、IdPプロキシは自身でアサーション(認証許可証)を作成してデバイスに渡します。

  7. デバイスでは、そのアサーションを使用してSaaSアプリケーションサイトにアクセスできるという仕組みです。

パスワードが登場しなかったことがお分かりでしょうか。

なお、IdPプロキシとの接続には、専用VPNアプリを使用してVPNトンネル通信を行うことで、認証情報のやり取りは隠蔽化されるため、この通信を盗聴されてもデータの漏洩は防ぐことが可能です。

また、認証する際に使用する要素としては、デバイス(所有物認証)、ユーザ(知識認証)、SaaSアプリケーション(事前登録済みの権限)の3つを証明書とUEMでの管理情報を使用して認証することで、なりすまし等ができない認証基盤になっています。

パスワードが無くなるとどうなるか

実際は、全てのパスワード入力が無くなる訳ではありません。なので、タイトルに「少しだけ」とつけました。

MacやWindowsのPCを使用する際のログインには、やっぱりパスワードが必要になります。

これに関しては、より漏洩リスクを減らすために生体認証を使用することも最近のデバイスでは可能となっています。

パスワードが必要なくなるのは、この後です。

ログイン後のアプリケーションの利用時には、パスワードではなく証明書によって内部的に自動的に認証が行われますので、ユーザが証明書を意識して何かの操作をすることはありません。

そのため、認証があること自体を忘れてしまうかもしれません。

よくあるのが、パスワード忘れによってパスワードリセットのために予期しない時間が取られてイライラしたことがあるかと思います。こんな状況からも解放されます。

パスワードの盗聴等の脅威については、そもそも、パスワード入力行為がないので、無力化できます。

しかしその反面、さきのログイン認証は非常に重要な要素になるため、ログインのパスワードポリシー設定は厳しく管理する必要があります。

まとめ

これからの世の中は、生体認証による認証も普及し、パスワードを入力する機会は徐々に少なくなって行くと思われます。

パスワード地獄から脱出して、便利で、簡単で、かつ高セキュリティにIT利用ができる世界が、そこまできています。

それによって、業務効率化が図られ、労働時間が短縮され、延いては「働き方改革」に繋がっていくことになると確信しています。