「複雑なパスワードを作って、忘れる」無限ループを解消？ 企業向けパスワードレス認証サービスが開始：FIDO2に対応（1/2 ページ）

インターナショナルシステムリサーチクラウドベースの認証サービス「CloudGate UNO」を「FIDO2」に対応させ、パスワードレス認証を実現したと発表した。

[高橋睦美，ITmedia]

　インターナショナルシステムリサーチ（以下、ISR）は2019年5月21日、クラウドベースの認証サービス「CloudGate UNO」を強化し、業界団体であるFast IDendity Online Alliance（FIDOアライアンス）が進める認証仕様「FIDO2」に対応させて提供することを発表した。パスワードなしでのユーザー認証を実現し、セキュリティと利便性、双方を向上させるという。

　CloudGate UNOは、ISRが2008年から提供してきたクラウドベースの認証サービスだ。パスワード認証の他、IPアドレスやデバイス情報に基づき、適切なユーザーのみが必要な範囲でSaaSやクラウドサービスを利用できるアクセス制御機能と、一度の認証で複数のサービスにログインできるシングルサインオン機能を提供してきた。

　同製品の特徴は、Active Directoryのような社内の情報と連携した上で、SAML（Security Assertion Markup Language）やOpenID Connectといった認証の仕様に基づき、Sansanなどの企業が手掛ける約50種類のクラウドサービスと連携していることだ。

CloudGate UNOパスワードレス認証の背後では、FIDO2とWebAuthn、SAMLやOpenID Connectといった技術が連携している

　また、これらに対応していないサービスや既存システムには、代理入力方式で対応する。ユーザー認証方式も従来に比べて拡大し、当初サポートしていたパスワードの他、ワンタイムパスワードトークンや指紋認証、クライアント証明書など複数の方式に対応。ユーザー企業のポリシーや運用形態、コストに応じて選択できるようにしている。

　今回、同製品がFIDO2に対応したことで、Yubicoなどが提供するFIDO2に準拠した認証デバイスを利用し、あらかじめ登録作業を済ませれば、パスワードなしで本人認証が実現できる。これによって、「盗用のリスクにさらされているパスワードを使わなくても、エンドツーエンドでセキュリティを確保できる」と、ISRの代表取締役、メンデス・ラウル氏は説明した。

セキュリティと利便性のトレードオフではなく両立を

ISRの代表取締役、メンデス・ラウル氏は、「FIDO2対応によって、パスワードなしで複数のSaaSへのシングルサインオンを実現し、セキュリティと利便性を両立させる」と述べた

　多くのITシステムで認証方式として採用されてきたパスワード認証だが、管理すべきアカウントとパスワードが増えるにつれ、その課題が指摘されるようになった。

　容易に推測可能なパスワードでは、本人になりすました攻撃者によってアクセスされる恐れがある。だからといって「長くて複雑なパスワードを設定せよ」とユーザーに強制しても、なかなかうまくはいかない。人間の頭で覚えきれるパスワードには限界があるからだ。

　むしろ、パスワード作成に当たってあまりに複雑なルールを強制したり、定期的な変更を求めたりすると、複数のサービスで同一のパスワードを使い回すケースが増えることになり、これが大きなリスクになる。ひとたびどこかからパスワードが流出すると、芋づる式に別のサービスでも不正ログインされてしまう「パスワードリスト攻撃」を受ける恐れがあるからだ。こうした背景から、パスワード管理を巡る考え方も変化しつつある。