個人情報のセキュリティにおけるパスワード認証の限界と、パスワードレス認証が注目される背景・顧客ID統合との親和性を解説

従来、アプリやWebサイトへログインするにはIDとパスワードによる認証が主流でした。しかし、登録ユーザーの個人情報に関するセキュリティ上の懸念もあり、近年「脱パスワード化」が進み、パスワードレス認証を導入する企業が増えています。

パスワードレス認証はどのような仕組みで、どのようなメリット・デメリットがあるのでしょうか。この記事では、パスの概要と重要性が高まる背景、種類・仕組みや効果的な導入方法を解説します。セキュリティやCX（顧客体験）の向上にも寄与する内容なので、ぜひお役立てください。

1　パスワードレス認証とは

パスワードレス認証とは、ユーザーがアプリやWebサービスなどへアクセスする際に、パスワードを使わずに認証する方法です。指紋や顔などの「生体情報」や、スマートフォンの認証アプリで生成されるコードやハードウェアトークンなどの「所持情報」を使用します。

従来の方法で必要とされていたパスワードの暗記や入力、設定やリセットにかかる手間を省けるため、利用者の負担が軽減します。また、セキュリティ性が向上するなど、メリットの多い認証方法として近年注目されている方法です。

多要素認証（MFA）やID統合、SSO（シングルサインオン）などと組み合わせて使用されるケースが多いのも特徴です。

SSOに関してはこちらもご覧ください
シングルサインオン（SSO）とは？ - BtoCビジネスにおける顧客データ管理システムの観点から解説

2　パスワードレス認証の重要性が高まる背景

パスワードレス認証の重要性が高まっているのは一体なぜでしょうか。脱パスワード化が進む背景となる、ID・パスワード認証の限界や弱点を解説します。

2-1　不正アクセスが増加している

近年、不正アクセス件数が増加傾向にあります。

総務省が報告した「不正アクセス行為の発生状況」によれば、令和4年には不正アクセスが前年より684件増加し、2,200件発生しています。そして、「不正アクセス禁止法違反」による検挙件数の90％以上を占めたのは、他人のIDやパスワードなどを用いたアクセスでした。

パスワードの入手経路としては、「設定・管理の甘さにつけ込んで入手」が最も高く47.7％です。その他にも、フィッシングサイトやのぞき見、関係者からの入手などがあり、ID・パスワードが原因の不正アクセスが多く見られました。

不正アクセスは、情報漏洩やデータの改ざん・破壊などによるレピュテーションリスクや、経済的損失につながりかねません。パスワードが原因となる不正アクセスを防ぐために、パスワードレス認証の必要性が高まっています。

パスワード認証の課題に関してはこちらもご覧ください
パスワード認証をめぐる課題と、「脱パスワード」化への動きとは

2-2　安全性の低いパスワードを設定するユーザーが多い

ユーザーはIDやパスワードを覚えやすくするため、もしくは習慣的に、安全性の低いパスワードを設定するケースが多くあります。

例えば、サイバーセキュリティ製品を展開する「Nord Security」が2022年に行った30ヵ国を対象にした調査では、最も利用されるパスワードは「password」、次に「123456」でした。また、誕生日や電話番号など推測されやすい番号を設定したり、1つのパスワードを使いまわしたりするユーザーもいます。

解決策として、パスワードを覚えずに管理できるツールはあるものの、ユーザーが個別に対応しなければならず、コストがかかる場合もあります。そのため、パスワードレス認証の導入により、企業側が主体的にセキュリティ性や利便性を高めていく必要があるでしょう。

2-3　従来の方法ではCXの低下につながる

パスワードによる認証は、CXを低下させてしまう場合があります。

例えば、パスワードを思い出せなかったり、間違えてログインできなくなったりしてストレスを感じるユーザーがいるかもしれません。また、同じ企業のサービスにも関わらず、毎回ID・パスワード入力を求められると、面倒に感じてしまう場合もあるでしょう。Googleが公表したデータによれば、パスワードを用いた認証の成功率は平均で13.8%に留まり、しかも、認証にかかる時間は平均で30.4秒とされています。(Google Security Blog: Making authentication faster than ever: passkeys vs. passwords)

1人あたりのパスワード保有数増加に伴い、管理やログインの手間も増えているため、CX低下のリスクはますます大きくなっています。パスワードレス認証の導入によりユーザーの負担減少を目指すのは、CX低下を防ぐためにも急務であると言えるでしょう。

3　パスワードレス認証のメリット・デメリット

パスワードレス認証の導入を検討しているのなら、メリットとデメリットをあらかじめ知っておく必要があります。ここでは、パスワードレス認証の代表的なメリット・デメリットを紹介します。

3-1　メリット

パスワードレス認証は推測や盗難のリスクが高いパスワードを使わないため、セキュリティの強化につながります。安全性が低いパスワードの設定や使い回しなどを行うと、「複数のアカウントが危険にさらされる」「ブルートフォース攻撃の標的になる」などのリスクがあります。パスワードレス認証を導入することで、このようなユーザー任せのセキュリティ管理によるリスクを回避できるでしょう。また、後述するFIDO認証など、よりセキュリティ性の高い認証方法も選択できます。

また、「複数のパスワードを覚える必要がなくなる」「定期的に変更せずともセキュリティを維持できる」など、利便性の向上に効果があることもメリットです。高いセキュリティを確保しつつスムーズなログインが可能になれば、CXの向上が期待できます。上述のGoogleのデータによれば、後述するパスキーによる認証の場合、認証の成功率が平均で63.8%と飛躍的に向上するだけでなく、認証にかかる時間も平均で14.9秒と大きく短縮しています。これは、パスワードレス認証の導入によりログイン認証に関するCXが大きく向上することを示唆するものといえるでしょう。CXの向上は、競合他社との差別化やリピーター、ロイヤルカスタマーの創出などを実現し、結果として企業における競争力の維持・向上にもつながるでしょう。

3-2　デメリット

パスワードレス認証の方法によっては、ユーザーが負担に感じるケースがあるかもしれません。例えば、ログインする度にメールの確認が必要になったり、マスクの使用により生体認証に失敗したりする場合などです。また、導入に専用の機器が必要になり、コストがかかる場合もあるでしょう。

さらに、特定のデバイスを認証器として使用する場合は、端末が手元にない場合や故障した際にログインができない状態になってしまうリスクもあります。この場合、再度アクセスするためには、新たな端末の登録や紛失した端末の登録解除などを行わなければなりません。

現在、パスキー方式をはじめとして、認証情報をクラウドで管理する仕組みも開発されているため、今後はより利便性の向上が期待できるでしょう。

4　パスワードレス認証の種類と仕組み

一口に「パスワードレス」と言っても、認証方法や使用する情報はさまざまです。そこで、代表的なパスワードレス認証の種類とそれぞれの仕組みを簡単に解説します。

4-1　生体認証

生体認証では、あらかじめ登録しておいた指紋や顔、静脈や虹彩など身体的な情報をパスワードの代わりに用いて本人確認をします。声紋や手書きの署名など、行動的特徴を認証に使用する場合もあります。

生体認証を導入するには情報を読み取るための専用の機器が必要になり、初期コストがかかる場合があるでしょう。しかし、生体情報は第三者がコピーしたり偽装したりするのが難しいため、特に強固なセキュリティ対策が求められるシーンで多く採用されています。

4-2　デバイス認証

デバイス認証では、MACアドレスやデバイスIDを確認したりデジタル証明書を使用したりして、アクセスしている端末を検証します。あらかじめ登録されているデバイス以外からはログインできません。

具体的には、スマートフォンやタブレットなど基本的には本人しか所持できない端末を「所持情報」として使う認証方法です。ワンタイムパスワードや認証コードを発行し、プッシュ機能などで通知、認証に利用します。二段階認証における手段の1つとしても普及している方法です。

4-3　FIDO認証・パスキー

FIDO認証とは、標準規格団体である「FIDOアライアンス」によって策定された認証方法です。スマホなどの端末側（認証器）に指紋や顔などの情報を登録し、認証時に検証します。公開鍵暗号方式を利用し、秘密鍵は認証器が、公開鍵はサーバー側が保管し、連携してログインが許可されます。

サーバーに生体情報などを保管する必要がないため、情報漏洩や盗難のリスクが低い点がメリットです。また、認証に必要な情報に加えて、秘密鍵が保管されている端末の使用も必須になるためセキュリティが向上します。

FIDO認証に関してはこちらもご覧ください
パスワードが不要？FIDO認証の仕組みやメリット・デメリット

さらに、「パスキー」が大きな注目を集めています。パスキーは、上述のFIDOを推進するFIDOアライアンスとWeb標準化団体のW3Cが規格化したものです。認証技術としてFIDO2を採用したことに加え、ログインのための情報を複数の端末で同期する仕組みも導入しているため、デバイスの交換や買い替えの際も複雑な手間を掛けずに、新しいデバイスで今までの認証が利用可能となっています。加えて、Webブラウザ経由でFIDO2認証を行なう「Web認証(WebAuthn)」という技術もサポートすることで、Webサイトへのログインもパスキーで処理できるようになっています。
既にApple, Microsoft, Googleなどがパスキーの採用を発表して話題となっており、日本でもNTTドコモやヤフーなどが対応しています。一方で、AppleであればApple ID, Googleの場合はGoogleアカウントといったように、各社のパスキーへの対応は自社アカウントとひも付けられているケースが多いのが実情です。

4-4　マジックリンク

マジックリンクとは、メールアドレスやSMS経由で届くリンクをクリックするとアクセス権が付与される認証方法です。基本的にリンクは一定期間かつ一回のみ有効で、パスワードの入力は必要ありません。

生体認証やデバイス認証と比較するとセキュリティ性はやや劣りますが、特別なデバイスがなくても使えるため手軽です。一度だけ認証が必要なアプリや、使用頻度の低いサービスなどとの親和性が高いでしょう。

5　パスワードレス認証を組み合わせる多要素認証（MFA）とは

多要素認証（MFA）とは、「知識情報（パスワードなど）」「所持情報（スマートフォンなど）」「生体情報（指紋など）」という3要素の中から2種類以上を組み合わせる認証方法です。

例えば、SMS認証と指紋認証など、パスワード以外の要素だけを組み合わせることも可能です。パスワードを使用する場合でも、他のパスワードレス認証と組み合わせるためセキュリティが向上します。そのため、マイナンバーを扱う際や金融機関での本人確認など、より強固なセキュリティが求められるシーンでは多要素認証が義務化されています。

多要素認証には2種類以上の情報が必要で、方法によっては手間がかかるため、なるべくユーザーの負担にならないよう配慮することも重要です。

5-1　高度化する多要素認証

多要素認証の1つである適応型認証（リスクベース認証）とは、リスクが高い場合に認証要素を追加してセキュリティを強化する方法です。アクセスする場所や時間、使用されたデバイスやネットワークなどを検証し、リスクレベルを判断します。

例えば、通常は昼間の時間帯に自宅のPCからアクセスするユーザーのケースを考えてみましょう。普段はIDとパスワードを入力するだけでログインできます。しかし、海外旅行中の深夜にスマホからアクセスすると、通常の認証に加えてSMS認証も求められるなどです。イレギュラーな行動によりリスクが高いと判断され、認証要素の追加提供が求められます。

6　パスワードレス認証はID統合・SSOとの組み合わせでより効果的に

パスワードレス認証をID統合やSSO（シングルサインオン）と組み合わせることで、、CX向上や不正ログイン対策の点でより大きな効果を期待できるでしょう。

ID統合は、複数のサイトやアプリで別々に管理されている顧客IDを統合し一元管理できるようにします。SSOとは、紐づけられている複数のサービスを1度の認証だけで利用できるやり方です。

ID統合とSSOをパスワードレス認証と連携すれば、パスワードを使用せずに複数のサイトをシームレスに利用できるため、ユーザーの負担を減らせます。また、複数サービスの行動データを分析することで顧客への理解が深まり、よりパーソナライズされたサービスを提供できるため、リピーターやファンの獲得にもつなげやすいでしょう。

ID統合に関しては、こちらもご覧ください
企業が注目するID統合とは？必要な理由や事例を紹介

7　パスワードレス認証やID統合には「SAP Customer Data Cloud」

SAP Customer Data Cloudは、ID/パスワード認証を補強するためのリスクベース認証機能や二要素認証機能とともに、脱パスワード化に向けたパスワードレス認証機能をクラウドで提供します。
具体的には、SAP Customer Data Cloudは、企業が提供するWebサイトやモバイルアプリにおける登録・ログイン画面や登録フローをクラウドで提供するRaaS（Registration as a Service）機能を備えています。
（参考: Registration as a Service (RaaS)）
このRaaS機能の一部として、パスワードの強度だけでなく、パスワード認証を補強するリスクベース認証（RBA）や二要素認証（MFA）を設定することができます。
（参考: GIGYA機能紹介：二要素認証とリスクベース認証）

さらに、パスワードレス認証方式として、以下の機能も利用することが出来ます。

• FIDO認証
• プッシュ通知認証
• 電話番号ログイン
• パスキー

これらの機能は、SAP Customer Data Cloudの管理画面で設定し、RaaS機能を実装しているWebサイトやアプリに直ちにデプロイすることが可能ですので、開発期間・コストの短縮効果を期待できます。また、全社レベルでの顧客ID統合戦略を検討する際に、事業部や組織単位で管理・運営されているWebサイトやアプリに対しても組織の枠を超えた全社的な認証ルールをスピーディに適用できる点でも非常に有利です。登録ユーザーの個人情報を守るために、全社的にセキュリティレベルを高めるうえでも高い効果を期待できるでしょう。

8　パスワードレス認証はセキュリティ・利便性の向上に重要な施策　

リスクが高いパスワードを使用した認証には、セキュリティや利便性の面で限界があります。一方、パスワードレス認証はユーザーの負担を軽減させつつ、より高いセキュリティを確保できる手法です。

とりわけ、FIDO認証やパスキー、多要素認証などの最新技術の導入による不正アクセス対策の強化は、いまや全社レベルで取り組むべき課題と言えるでしょう。また、顧客ID統合を検討するうえでも重要な課題です。まずは、SAP Customer Data Cloudの機能や導入による効果を確認してみるのはいかがでしょうか。

お問い合わせや資料のダウンロードはこちらから