ホワイト ペーパー: 企業におけるパスワードのみの認証を パスキー に置き換える

エディター

Khaled Zaky、アマゾン ウェブ サービス

要約

このホワイトペーパーでは、より安全で便利な認証ソリューションの必要性について説明する。 パスワードは長い間、認証の標準であったが、パスワード固有のリスクが認証メカニズムとしての有効性を低下させている。 多要素認証（MFA）ソリューションは以前から市場に出回っていたが、さまざまな障壁のために普及が遅れていた。 Passkeyは、パスワードや従来のMFAソリューションよりもセキュリティ、使いやすさ、拡張性を向上させながら、従来のMFAメカニズムの導入障壁を軽減する認証ソリューションです。 Passkeyは、認証にデバイス上の生体認証またはPINを利用し、シームレスなユーザー体験を提供します。 このホワイトペーパーでは、パスキーのメリット、ユーザーエクスペリエンス、企業における導入の留意点について概説しています。

1. イントロダクション

パスワードは長い間認証の標準でしたが、パスワードに固有のセキュリティ上の欠陥により、パスワードは悪用される可能性があります。 多くのパスワードは、データ侵害によって簡単に推測されたり取得されたりする可能性があり、複数のアカウントでパスワードを再利用することは問題を悪化させるだけです。 この脆弱性により、漏洩したパスワードや一般的に使用されるパスワードを使用してユーザーアカウントに不正にアクセスするクレデンシャルスタッフィング攻撃の影響を受けやすくなります。 実際、パスワードはデータ侵害の80%以上が根本原因であり、パスワードの最大51%が再利用されています。 このようなセキュリティ上の懸念にもかかわらず、多くの消費者や組織は、認証をパスワードのみに依存し続けています。 FIDO Allianceの最近の調査によると、消費者の59%は、仕事用のコンピューターやアカウントにパスのみを使用しています。

SMS、電子メール、認証アプリを介して配信されるワンタイムパスワード(OTP)などの従来の多要素(MFA)メカニズムは、組織が単一要素のパスワードベースの認証システムに関連するリスクを軽減するために使用されています。 パスワードによる単一要素認証を使用している組織や、フィッシングやクレデンシャルスタッフィングを減らすためにOTPを導入している組織は、パスワードの代わりにパスキーを実装することで、ユーザーがすでに使用しているデバイス(ラップトップ、デスクトップ、モバイルデバイス)を使用して、ユーザーエクスペリエンスの向上、認証の摩擦の軽減、セキュリティプロパティの向上を実現できます。 パスキーの概要と用語については、 FIDO Allianceのパスキー リソースページを参照してください。 次のページでは、既存のパスワードのみの使用例をパスキーに移行することに焦点を当てます。 その他のユースケースについては、 こちらを参照してください。

2. パスキー はパスワードよりも優れているのですか?

パスキー は、認証目的でパスワードの優れた代替手段であり、従来のMFA方式よりも使いやすさが向上しています。 ユーザーエクスペリエンスの向上、資格情報の紛失によるコストの削減、フィッシングへの耐性、資格情報の侵害に対する保護など、いくつかの利点があります。

同期されたパスキーは、複数のデバイス間でユーザーに一貫した認証エクスペリエンスを提供します。 これは、オペレーティングシステムプラットフォーム(またはパスワードマネージャーなどのサードパーティの同期ファブリック)を活用して、FIDO資格情報の暗号化キーを同期することで可能になります。 これにより、生体認証またはデバイスの PIN を使用してすばやく簡単にサインインできます。 同期されたパスキーは、スケーラビリティと資格情報の回復も向上させます。 同期パスキー を使用すると、ユーザーは所有するすべてのデバイスに新しいFIDO資格情報を登録する必要がなく、デバイスを交換するかどうかに関係なく、常にパスキーにアクセスできます。

一方、セキュリティキーなどの デバイス固定パスキー は、複数のデバイスで使用でき、デバイス間の移植性を実現します。 同期された 同期パスキー は、同期された任意のデバイスでアクセス可能なものとは異なり、 デバイス固定パスキー は特定の物理セキュリティキーに関連付けられています。

セキュリティの面では、パスキーはFIDO認証標準に基づいて構築されており、フィッシングやクレデンシャルスタッフィングの脅威に対する強力な耐性を提供します。 さらに、パスキーは既存のデバイス上のセキュリティ機能に依存しているため、中小企業はより強力な認証方法を簡単に採用できます。

最後に、パスキーは、パスワードや従来のMFA認証方法よりも優れた、安全で効率的な認証のための包括的なソリューションを提供します。 シームレスなユーザーエクスペリエンス、スケーラビリティの向上、セキュリティの強化により、パスキーはあらゆる規模の組織にとって貴重なソリューションです。

3. パスキー のユーザーエクスペリエンス

3.1 パスキーのビジュアルUX/UIを作成する

注: このセクションでは、パスキーの登録とサインインのプロセスの概要を例を使用して説明します。 注: FIDO Alliance のユーザー エクスペリエンス ワーキング グループは、パスキーの UX ガイドラインを作成しました。このガイドラインは、こちらから入手できます。

1. パスキー登録フローでは、ユーザーは最初に認証のためにパスワードとともに電子メールまたはユーザー名を入力するように求められます。

2.次に、ユーザーはプロンプトに従って、デバイス上の生体認証またはPIN認証を提供するだけです。

3.2 パスキービジュアルUX/UIでサインイン

1. パスキーでサインインするには、ユーザーはメールアドレスまたはユーザー名を選択するだけです。
2. 使用可能なパスキーは、パスキーの自動入力ユーザーインターフェイスに表示されます。

4. 企業向けの採用に関する考慮事項

大小の企業には、パスワードを使用した単一要素認証に依存するシステムやサービスがあります。 これらのユースケースを総称して「低保証ユースケース」と呼んでいます。 低保証のユースケースでは、テクノロジーリーダーはパスワードのみの認証メカニズムをパスキーに置き換えることで、フィッシングのリスクを大幅に減らし、パスワードの再利用やクレデンシャルスタッフィングをなくすことができます。 ただし、保証度の低いユースケースであっても、企業は、以下で概説するテクノロジーと実装の選択に影響を与える要因を考慮する必要があります。

企業にパスキーを導入するための前提条件として、リーダーは一連のユースケース、ユーザー、およびこのセットに対するパスキーの適合性を明確に定義する必要があります。

4.1 証明書利用者 (RP) はパスキーをサポートしていますか?
本稿執筆時点 (2023 年第 2 四半期) では、パスキーは比較的新しいテクノロジーであるため、広範なサポートは保証されていません。 組織がパスキーへの移行候補を特定するためにシステムを見直したとき、リーダーはまず、エコシステム内のどこでパスキーがサポートされているかを特定することから始める必要があります。

まず、社内で開発/管理されたアプリケーションの場合、パスキーのサポートをアプリケーションにどのように追加できますか?シングルサインオン(SSO)メカニズムを使用して複数のアプリケーションやサービスをフェデレーションする場合、IDプロバイダー(IdP)にパスキーのサポートを追加すると、パスキーのサポートを多数のフェデレーションアプリケーションに伝播でき、SSO IdPに重点を置いたエンジニアリング作業でパスキーをサポートするサービスの豊富なエコシステムを作成できます。逆に、環境で複数の独立したアプリケーションを使用し、それぞれがパスワードベースの認証を使用している場合、組織はパスキーを活用するために、アプリケーションスイート全体でFIDOの実装を優先するか、IdPがパスキーをサポートするフェデレーション認証モデルへの移行を検討する必要があります。

次に、サードパーティが開発またはホストするアプリケーションは、パスキーをサポートしている場合とサポートしていない場合があります。現在、組織のサービス プロバイダーがパスキーをサポートしていない場合は、サポートがいつ予定されているかをお問い合わせください。または、組織がフェデレーション ID モデルを追求している場合、サービス プロバイダーはインバウンド フェデレーションをサポートしていますか?その場合、エンドユーザーは、サービスプロバイダーのシステムにフェデレーションする前に、パスキーを使用してIdPに認証できます。

4.2 パスキーの作成、管理、認証にはどのデバイスが使用されますか?
対象となるアプリケーションまたは IdP のセットを特定したら、アプリケーションのユーザーと、そのユーザーがアクセスに使用するデバイスを特定します。 一般的に、最新のオペレーティング システム、ブラウザー、およびハードウェアのユーザーは、資格情報マネージャーまたはハードウェア セキュリティ キーを使用して、プラットフォーム デバイスに登録されたパスキーを幅広くサポートします。 各メカニズムにはトレードオフがあります。

現在、パスキー プロバイダーでは、ユーザーが同期ファブリックに登録したすべてのデバイスに同期されたパスキーをユーザーが登録できます。 パスキー プロバイダーは、オペレーティング システム、ブラウザー、またはユーザーに代わってパスキーを保存および管理する資格情報マネージャーの一部である場合があります。 ユーザーがデバイスを紛失または交換した場合、パスキーを新しいデバイスに同期して、ユーザーへの影響を最小限に抑えることができます。 通常、これは定期的に少数のデバイスを使用するユーザーに適したソリューションです。

逆に、ハードウェア セキュリティ キー デバイス固定パスキーを作成します。彼らは決してデバイスから離れません。 ユーザーがハードウェア キーを紛失した場合は、デバイスに保存されているすべての資格情報のバックアップを作成するか、アカウントの回復を実行する必要があります。 パスキー は、ハードウェアにバインドされていない場合、他のユーザーと共有することができます。

ハードウェアセキュリティキーは、USB、Bluetooth、またはNFCを介してユーザーのコンピューティングデバイスに接続する必要がありますが、プロバイダーはブートストラップされると、ユーザーのデバイスで常に利用できます。 プラットフォームの資格情報は、 FIDO クロスデバイス認証を使用して近くのデバイスで認証するために使用できます。 企業は、複数の共有デバイス間を移動するユーザーが、すべての共有デバイス間でパスキーを同期するか、ハードウェアキーを使用するか、ハイブリッドフローを使用してワークスタイルを最適にサポートする必要があるかを検討する必要があります。

ユーザーが 1 つのアカウント (またはプロファイル) を使用して共有デバイスを操作する場合、プラットフォームまたは資格情報マネージャーに登録されたパスキーは適切ではありません。 このシナリオでは、ハードウェア キーのデバイス バインド パスキーが推奨されます。 ユーザーがモバイル デバイスを持ち歩く場合は、デバイスにパスキーを登録し、クロス デバイス認証フローを使用してユーザーを認証することを検討してください。

パスワードとは異なり、上記で確認したすべてのパスキーソリューションは、強力なフィッシング耐性を提供し、RPからの資格情報の盗難と再利用を排除します。

4.3 登録と回復
ユーザーがパスキーを登録できるデバイスまたはプラットフォームに制限がない場合、ユーザーは、ユーザーが選択したデバイスを使用して既存のパスワードから新しい資格情報をブートストラップすることにより、パスキーを自己プロビジョニングできます。 ハードウェア セキュリティ キーを使用する場合、組織はバックアップ資格情報を使用できるように、ユーザーごとに 2 つ提供する必要があります。

パスワードがユーザーアカウントでアクティブなままである限り、ユーザーは上記のセルフプロビジョニングに従って資格情報の損失から回復できます。 この手順は、ユーザーがパスキー プロバイダーから資格情報を復元できない場合にのみ必要です。

5. まとめ

パスキー は、従来のパスワードと比較してセキュリティが大幅に向上していますが、実装を進める前に、導入に関する考慮事項を慎重に評価して理解することが重要です。 組織は、その技術要件、セキュリティ、および管理設定がパスキーソリューションと一致していることを確認する必要があります。 すべてのユースケースがパスキーのみの実装に適しているわけではありません。 その他のデプロイ パターンについては、このシリーズの他のホワイト ペーパーを参照してください。

6. 次のステップ: 今すぐ始めましょう

組織は、認証方法をアップグレードし、パスキーが提供するより強力なセキュリティを活用する必要があります。 FIDO認証規格に基づくパスキーは、増大するフィッシング攻撃の脅威に対する堅牢なソリューションを提供します。 パスキーをサポートするWebサイトやアプリケーションでパスキーアイコンを探し、より安全な未来への第一歩を踏み出してください。 待たないでください。 今すぐパスキーに切り替えましょう!

パスキーの詳細については、 FIDO Alliance のサイトをご覧ください。

7. 謝辞

グループディスカッションに参加した、またはこのペーパーのレビューに時間を割いて意見を提供してくださったすべての FIDO Alliance メンバーに感謝します(アルファベット順)。

• ジェローム・ベッカート、アクシアド
• ヴィットリオ・ベルトッチ、Okta
• グレッグ・ブラウン、アクシアド
• ティム・カパッリ、マイクロソフト
• マシュー・エステス、アマゾン ウェブ サービス
• ジョン・フォンタナ、ユビコ、FIDOエンタープライズデプロイメントワーキンググループ共同議長
• リューイスラム、ダッシュレーン
• ジェフ・クレイマー、アクシアド
• カレン・ラーソン、アクシアド
• ショーン・ミラー、RSA
• Dean H. Saxe氏、Amazon Web Services、FIDO Enterprise Deployment Working Group共同議長
• トム・シェフィールド、ターゲット・コーポレーション
• ヨハネス・ストックマン、Okta
• シェーン・ウィーデン、IBM
• モンティ・ワイズマン、Beyond Identity
• FIDO Enterprise Deploymentワーキンググループメンバー