ユーザーIDやパスワードを入力することなくアカウントにログインできるパスワードレス認証のパスキー。
利用者の端末側で本人認証が完了するため、ネットワーク上に認証情報が流れることはないでつ。
その具体的な仕組みと、企業システムでも始まった導入の勘所でつ。
パスキーをFIDO2という仕様に基づいた、複数の端末に対応するパスワードレス認証という意味で使っているでつ。
そこでまずはFIDO2について。
FIDO2による認証を利用するには、認証を受け持つFIDOサーバーに利用者を登録する必要があるでつ。
登録時の流れは次の通り。
最初に利用者はFIDO2に対応したサービスにアクセスして登録を要求。
するとサービスはFIDOサーバーに登録開始を要求。
要求されたFIDOサーバーは、チャレンジコードと呼ぶランダムな文字列を生成し、利用者のスマートフォンやパソコンなどの端末に送るでつ。
端末はチャレンジコードを受け取ると、認証器にチャレンジコードを転送。
認証器とは指紋や顔画像といった認証情報を読み取ったり管理したりする機器を指すでつ。
認証器には端末に組み込まれている内部認証器と、外付けの外部認証器があるでつ。
利用者が認証器を使って本人認証すると、公開鍵暗号に使う秘密鍵と公開鍵のペアが生成されるでつ。
このうち秘密鍵を使って、FIDOサーバーから送付されたチャレンジコードを暗号化。
この暗号化処理を署名と呼ぶでつ。
署名が終わると認証器は、端末を経由して公開鍵と署名したチャレンジコードをFIDOサーバーに送信。
FIDOサーバーは、受け取った公開鍵を使って署名済みのチャレンジコードを復号して検証。
正しければ公開鍵と利用者のIDを登録し、サービスに対して登録完了を通知。
FIDO2で認証する際の流れも大枠は変わらないでつ。
利用者がサービスにアクセスすると、FIDOサーバーが利用者の端末にチャレンジコードを送付。
端末は認証器にチャレンジコードを転送し、認証器で利用者が本人認証。
本人認証が成功した場合、秘密鍵でチャレンジコードに署名しFIDOサーバーに送るでつ。
FIDOサーバーは登録済みの公開鍵を使ってチャレンジコードを検証し、検証結果をサービスに送信。
つまりFIDO2での認証では、端末とFIDOサーバーはチャレンジコードのみをやり取りするでつ。
生体情報やPINなどの認証情報がネットワーク上を流れないため、中間者攻撃への耐性が高いでつ。
加えてチャレンジコード自体も公開鍵暗号で暗号化しているため、改ざんされるリスクも低い。でつ
認証器で本人認証する際、認証情報には生体情報以外の情報も利用できるでつ。
例えば生体認証がうまく機能しないときのリカバリー手段として、認証器にPINを登録しておく場合が多いでつ。
このほかジェスチャーを利用する場合もあるでつ。
このように利便性と安全性を両立させるパスキーは、主にウェブサービスの顧客向けとして採用されてきたでつが、
一般企業でも導入が始まっているでつ。
環境が整ってきたため。
その1つが認証器を備えた端末の普及。
これまでは企業で生体認証を導入しようとすると、外付けの認証器を購入する必要があったでつ。
現在では、ノートパソコンやスマホの多くがカメラや指紋の認証器を標準で備えているでつ。
例えば社員200人の環境にパスキーを導入の1年半前にパソコンをリプレースしていたこともあり、ほとんどのパソコンに認証器が搭載されていたでつ。
このためパスキー導入の際に購入した外部認証器は10台程度だったでつ。
IAMなどと呼ばれるアイデンティティー管理サービスの多くがパスキーに対応していることも、導入を容易。
現在ではクラウドシフトが進み、多くの企業がインターネット経由でソフトを提供するSaaSつまりソフトウエア・アズ・ア・サービスを業務利用。
複数のSaaSを利用している企業なら、アイデンティティー管理サービスのシングルサインオンつまりSSOを使っているケースが多いでつ。
アイデンティティー管理サービスに一度ログインすれば、複数のSaaSに自由にアクセスできるでつ。
アイデンティティー管理サービスをそのように利用している企業なら、ログイン方法を変更するだけでパスキーを導入できるでつ。
前出のウエディングパークは2012年からアイデンティティー管理サービスによるSSOを利用。
ログインにはユーザーIDとパスワードを使っていたでつ。
このログイン方法をパスキーに変えることで、パスワードレス認証を実現。
とはいえ環境がいくら整っても、実際に導入するのは容易ではないでつ。
業務システムへのログインに関わるので、円滑に導入できないと業務に支障を来すでつ。
ウエディングパークはパスワードからパスキーに切り替えるために、いくつかの工夫を凝らしたでつ。
その1つが、部署ごとの導入。
部署単位なら、一度に対応する人数が限られるでつ。
導入の順序にも工夫。
人数の少ない部署を優先させたでつ。
導入当初は不具合が発生する可能性が高いでつ。
不具合が発生した場合でも、少人数の部署なら業務への影響を抑えられるでつ。
ITスキルの高い部署にも優先的に導入。
導入のノウハウを蓄積するため。
導入に当たっては担当部門が資料を用意し、部署ごとに説明。
ただ初めて導入する際には、資料の内容が不十分である可能性もあるでつ。
そこでまずはITスキルの高い部署に導入して疑問点などを挙げてもらったでつ。
ITスキルが高いため、利用者が抱くであろう疑問を的確に指摘。
重要な業務を始めようとしたときに認証がうまくいかなかったらどう対処すればよいのかなど、運用後の不安に関する指摘が多かったでつ。
こうした指摘を説明資料に反映してブラッシュアップし、次の部署の導入に役立てるでつ。
この作業を繰り返すことで、ITスキルがそれほど高くない社員でも納得してもらえる資料を作成。
導入に当たっては代替手段も検討する必要があるでつ。
例えば指紋認証を利用すると決めた場合、社員によっては指紋認証が難しい場合があるでつ。
そういった社員には顔認証を用意するといった対応が必要になるでつ。
また従来ユーザーIDとパスワードで問題なくログインできていた社員には、パスキーに切り替える意義が分かりづらい可能性があるでつ。
こうした社員に対しては、パスワードからパスキーに切り替える目的や社員が得られるメリットなどを丁寧に説明して納得してもらうでつ。
生体認証に抵抗感を示す社員がいる可能性もあるでつ。
生体情報の取り扱いに不安を抱いている場合にはパスキーの仕組みを説明して、生体情報はネットワークを流れないことやサーバーに
保存されないことを分かってもらうのが有効。
ただ、アップル製品のTouch IDなどで生体認証に慣れているためか、生体認証がイヤだという声は特になかったでつ。
生体認証のリカバリー手段としてPINを設定する場合には、PINを適切に管理することや忘れないようにすることを
社員に呼びかけることも大切な工夫の1つ。
パスワードって考えるのと覚えるのが面倒なんでつなぁ~
だけど、セキリティを考えるとパスワードに変わる技術は必須だなぁ~
利用者の端末側で本人認証が完了するため、ネットワーク上に認証情報が流れることはないでつ。
その具体的な仕組みと、企業システムでも始まった導入の勘所でつ。
パスキーをFIDO2という仕様に基づいた、複数の端末に対応するパスワードレス認証という意味で使っているでつ。
そこでまずはFIDO2について。
FIDO2による認証を利用するには、認証を受け持つFIDOサーバーに利用者を登録する必要があるでつ。
登録時の流れは次の通り。
最初に利用者はFIDO2に対応したサービスにアクセスして登録を要求。
するとサービスはFIDOサーバーに登録開始を要求。
要求されたFIDOサーバーは、チャレンジコードと呼ぶランダムな文字列を生成し、利用者のスマートフォンやパソコンなどの端末に送るでつ。
端末はチャレンジコードを受け取ると、認証器にチャレンジコードを転送。
認証器とは指紋や顔画像といった認証情報を読み取ったり管理したりする機器を指すでつ。
認証器には端末に組み込まれている内部認証器と、外付けの外部認証器があるでつ。
利用者が認証器を使って本人認証すると、公開鍵暗号に使う秘密鍵と公開鍵のペアが生成されるでつ。
このうち秘密鍵を使って、FIDOサーバーから送付されたチャレンジコードを暗号化。
この暗号化処理を署名と呼ぶでつ。
署名が終わると認証器は、端末を経由して公開鍵と署名したチャレンジコードをFIDOサーバーに送信。
FIDOサーバーは、受け取った公開鍵を使って署名済みのチャレンジコードを復号して検証。
正しければ公開鍵と利用者のIDを登録し、サービスに対して登録完了を通知。
FIDO2で認証する際の流れも大枠は変わらないでつ。
利用者がサービスにアクセスすると、FIDOサーバーが利用者の端末にチャレンジコードを送付。
端末は認証器にチャレンジコードを転送し、認証器で利用者が本人認証。
本人認証が成功した場合、秘密鍵でチャレンジコードに署名しFIDOサーバーに送るでつ。
FIDOサーバーは登録済みの公開鍵を使ってチャレンジコードを検証し、検証結果をサービスに送信。
つまりFIDO2での認証では、端末とFIDOサーバーはチャレンジコードのみをやり取りするでつ。
生体情報やPINなどの認証情報がネットワーク上を流れないため、中間者攻撃への耐性が高いでつ。
加えてチャレンジコード自体も公開鍵暗号で暗号化しているため、改ざんされるリスクも低い。でつ
認証器で本人認証する際、認証情報には生体情報以外の情報も利用できるでつ。
例えば生体認証がうまく機能しないときのリカバリー手段として、認証器にPINを登録しておく場合が多いでつ。
このほかジェスチャーを利用する場合もあるでつ。
このように利便性と安全性を両立させるパスキーは、主にウェブサービスの顧客向けとして採用されてきたでつが、
一般企業でも導入が始まっているでつ。
環境が整ってきたため。
その1つが認証器を備えた端末の普及。
これまでは企業で生体認証を導入しようとすると、外付けの認証器を購入する必要があったでつ。
現在では、ノートパソコンやスマホの多くがカメラや指紋の認証器を標準で備えているでつ。
例えば社員200人の環境にパスキーを導入の1年半前にパソコンをリプレースしていたこともあり、ほとんどのパソコンに認証器が搭載されていたでつ。
このためパスキー導入の際に購入した外部認証器は10台程度だったでつ。
IAMなどと呼ばれるアイデンティティー管理サービスの多くがパスキーに対応していることも、導入を容易。
現在ではクラウドシフトが進み、多くの企業がインターネット経由でソフトを提供するSaaSつまりソフトウエア・アズ・ア・サービスを業務利用。
複数のSaaSを利用している企業なら、アイデンティティー管理サービスのシングルサインオンつまりSSOを使っているケースが多いでつ。
アイデンティティー管理サービスに一度ログインすれば、複数のSaaSに自由にアクセスできるでつ。
アイデンティティー管理サービスをそのように利用している企業なら、ログイン方法を変更するだけでパスキーを導入できるでつ。
前出のウエディングパークは2012年からアイデンティティー管理サービスによるSSOを利用。
ログインにはユーザーIDとパスワードを使っていたでつ。
このログイン方法をパスキーに変えることで、パスワードレス認証を実現。
とはいえ環境がいくら整っても、実際に導入するのは容易ではないでつ。
業務システムへのログインに関わるので、円滑に導入できないと業務に支障を来すでつ。
ウエディングパークはパスワードからパスキーに切り替えるために、いくつかの工夫を凝らしたでつ。
その1つが、部署ごとの導入。
部署単位なら、一度に対応する人数が限られるでつ。
導入の順序にも工夫。
人数の少ない部署を優先させたでつ。
導入当初は不具合が発生する可能性が高いでつ。
不具合が発生した場合でも、少人数の部署なら業務への影響を抑えられるでつ。
ITスキルの高い部署にも優先的に導入。
導入のノウハウを蓄積するため。
導入に当たっては担当部門が資料を用意し、部署ごとに説明。
ただ初めて導入する際には、資料の内容が不十分である可能性もあるでつ。
そこでまずはITスキルの高い部署に導入して疑問点などを挙げてもらったでつ。
ITスキルが高いため、利用者が抱くであろう疑問を的確に指摘。
重要な業務を始めようとしたときに認証がうまくいかなかったらどう対処すればよいのかなど、運用後の不安に関する指摘が多かったでつ。
こうした指摘を説明資料に反映してブラッシュアップし、次の部署の導入に役立てるでつ。
この作業を繰り返すことで、ITスキルがそれほど高くない社員でも納得してもらえる資料を作成。
導入に当たっては代替手段も検討する必要があるでつ。
例えば指紋認証を利用すると決めた場合、社員によっては指紋認証が難しい場合があるでつ。
そういった社員には顔認証を用意するといった対応が必要になるでつ。
また従来ユーザーIDとパスワードで問題なくログインできていた社員には、パスキーに切り替える意義が分かりづらい可能性があるでつ。
こうした社員に対しては、パスワードからパスキーに切り替える目的や社員が得られるメリットなどを丁寧に説明して納得してもらうでつ。
生体認証に抵抗感を示す社員がいる可能性もあるでつ。
生体情報の取り扱いに不安を抱いている場合にはパスキーの仕組みを説明して、生体情報はネットワークを流れないことやサーバーに
保存されないことを分かってもらうのが有効。
ただ、アップル製品のTouch IDなどで生体認証に慣れているためか、生体認証がイヤだという声は特になかったでつ。
生体認証のリカバリー手段としてPINを設定する場合には、PINを適切に管理することや忘れないようにすることを
社員に呼びかけることも大切な工夫の1つ。
パスワードって考えるのと覚えるのが面倒なんでつなぁ~
だけど、セキリティを考えるとパスワードに変わる技術は必須だなぁ~
