パスワード認証をめぐる課題と、「脱パスワード」化への動きとは

Webサイトやアプリにおける認証・ログインに際しては、現在においてもIDとパスワードによる認証が主流といえるでしょう。一方で、パスワードによる認証に対しては、様々な攻撃や不正アクセスの対象ともなる脆弱性を指摘されている状況でもあります。通信事業会社Verizonがまとめた「2019 Data Breach Investigations Report」（2019年度データ漏洩/侵害調査報告書）によると、不正アクセスが絡む情報流出の約80％が、パスワードなど認証情報の盗難や使い回しに関連しているとのことです。ID/パスワード認証の限界を指摘する声も高まりつつあるというのが現状です。
2021年10月11日の日本経済新聞は、「ITシステムの認証からパスワードをなくす動きが広がっている」とする記事を掲載しています。
（日本経済新聞　2021年10月11日「さよならパスワード　マイクロソフト、顔認証など標準に」）

この記事では、米国マイクロソフト社が自社が提供するアプリでのユーザー認証手段として「顔認証」を標準としたことを紹介するとともに、多くの企業が「脱パスワード」を検討すべき時期を迎えた、としています。背景として、パスワードの悪用による不正アクセスは増加傾向にあり、警察庁によれば、2020年の摘発件数は5年前の1.7倍に増加しているとのことです。さらに、利用者側がいわゆる「破られやすいパスワード」を設定してしまうこともパスワードの限界を指摘する要因の一つとして挙げられます。漏えいした日本の利用者のパスワードを分析した結果、1位は「123456」だった、とする調査結果もあるそうです。
このような状況を受けて、日本企業も脱パスワード化に向けて動き始めており、記事において取り組み事例を紹介しているほか、ベンダ側も脱パスワード化を支援するソリューションに力を入れ始めていることも取り上げています。

コロナ禍により、ECなどをはじめとしてオンラインでのサービス展開への注目がますます高まる中で、個人ひとりひとりを正しく認証するだけでなく、攻撃や不正アクセスから個人データを守る取り組みの重要性も高まっています。パスワードの限界が指摘される中で、「脱パスワード」化への取り組みが求められている、といえるでしょう。

SAP Customer Data Cloudは、ID/パスワード認証を補強するためのリスクベース認証機能や二要素認証機能とともに、脱パスワード化に向けたパスワードレス認証機能をクラウドで提供します。
具体的には、SAP Customer Data Cloudは、企業が提供するWebサイトやモバイルアプリにおける登録・ログイン画面や登録フローをクラウドで提供するRaaS（Registration as a Service）機能を備えています。
（参考: Registration as a Service (RaaS)）
このRaaS機能の一部として、パスワードの強度だけでなく、パスワード認証を補強するリスクベース認証（RBA）や二要素認証（MFA）を設定することが出来ます。
（参考: GIGYA機能紹介：二要素認証とリスクベース認証）

さらに、パスワードレス認証方式として、以下の機能も利用することが出来ます。

●FIDO認証
FIDO認証とは、ユーザーが利用する端末側での生体認証による本人認証結果を利用する仕組みです。

●プッシュ通知認証
ユーザーの端末にインストールされているアプリに対してプッシュ通知を送信し、ユーザーがプッシュ通知画面内で承認することで認証します。

●電話番号ログイン
ユーザーが登録した電話番号に対して1回限り有効な「ワンタイムパスワード」をSMSで送信し、ユーザーが受信した「ワンタイムパスワード」を入力することで認証します。

これらの機能は、SAP Customer Data Cloudの管理画面で設定し、RaaS機能を実装しているWebサイトやアプリに直ちにデプロイすることが可能ですので、開発期間・コストの短縮効果を期待できます。また、事業部や組織単位で管理・運営されているWebサイトやアプリに対しても組織の枠を超えた全社的な認証ルールをスピーディに適用できる点でも非常に有利です。

当社は、SAPのパートナー企業としてSAP Customer Data Cloudの導入支援に豊富な経験を有しています。GDPRなどのプライバシー法規制対応に関心をお持ちの方は、グローバルで高い評価を受けるSAP Customer Data Cloudの国内における豊富な導入支援実績を有し、高い評価を受ける当社にどうぞご相談ください。