『パスワードレス化に向けた管理者ガイド』ブログシリーズ
この記事は、Tech Lead である Jeremy Erickson によるブログ「The Administrator’s Guide to Passwordless: An Introduction」(2021/6/3)の抄訳です。
概要
今が 2030 年だとすると、パスワードは過去のものとなっています。もちろん、古い Wi-Fi システムや、誰も操作方法を知らないレガシーソフトウェアなど、まだパスワードをなくせていないケースもいくつか残っています。この 10 年は興味深い期間でした。最初の頃はユーザの個人情報が中央のデータベースに保存されていたため、生体認証の利用を不安に思っていたのを覚えていますか。かなり早い段階でその心配はなくなりました。また、アカウントに各デバイスを個別に登録するのに慣れるには少し時間がかかりました。
しかし、オンラインで何かしようとするたびに、覚えやすいように工夫した単語や半分ランダムな単語を思い出さなければならなかった 2020 年以前の時代は、想像もつきません。しかも、サイトごとにパスワードを設定しなければならなかったのです。それも気にしないことにしましょう。それから、いくらパスワードを適切に管理していたとしても、データベースがハッキングされれば、とにかくパスワードをリセットするしかありませんでした(ハッキングされたことに気づけば幸運な方です)。とにかく、2030 年には、はるかによくなっています。
現実に戻りましょう。2021 年の今、管理者またはセキュリティエンジニアである読者の皆さまは、「パスワードレス」の全体像を把握しようとしています。自分の組織で展開するための戦略を策定しようとしているかもしれません。私たちは何十年もパスワードを使用してきています。それを今になって使用しないとはどういうことでしょうか。半歩進んで、一歩下がっているように思われます。結局のところ、私たちの指紋や顔は常にオープンな状態のままです。
頭の中に隠されているものを盗むのは非常に困難ですよね。何かを売りつけようとしている人は、パスワードを削除する方が安全だと言い続けていますが、それはリスクが高いように思われます。優れたセキュリティキーのいずれかを利用するとしても、所詮、それはあなたが持っているものです。セキュリティキーを盗むだけで侵入できてしまいます。このことをどこまで把握されていますか。
このシリーズでは、「パスワードレス」の方が今日の主要な認証システムよりも安全で使いやすいと納得するために知っておくべき、すべての内容を取り上げます。しかし、心配する気持ちもわかります。すべてのパスワードレス製品やシステムが、この高い基準を満たしているわけではありません。一部の製品は、パスワードを削除し、シンプルかつ簡単にログインできるようにすることで「パスワードレス」だと主張していますが、必ずしもフィッシング攻撃に対応できているとは言えず、安全でもありません。また、特別なソフトウェアやハードウェアが必要な製品がありますが、必要でない製品もあります。
この記事は、製品を選択するための手順を示すガイドではありません。ここでは、パスワードレス認証の重要な側面について説明し、ソリューションが適切かどうかを評価する際に、何を確認すべきかがわかるようにすることを目的にしています。
パスワードレスの問題
まず、パスワードレスと言えるものとパスワードレスとは言えないものを明らかにするところから始めましょう。パスワードレスと明確に言えるのは、パスワードおよびパスワードを利用することによるすべての問題(脆弱なパスワード、ログイン情報の再利用、フィッシング攻撃など)が排除されているということです。パスワードに関する問題にまだ直面していなくて、パスワードを排除したいと考えていなければ、今この記事を読んではいないでしょう。しかし、パスワードを使用しないのであれば、アカウントへのアクセスを保護するために何を利用するのでしょうか。
セキュリティが重要な環境では、多くの場合パスワードに加えて、クライアント証明書またはスマートカード認証ソリューションが利用されますが、パスワードだけに頼っている場合もあります。どちらのアプローチでも、非対称キーを使用して従業員や従業員のデバイスを一意に識別し、攻撃者がアカウントに不正にアクセスできないようにします。
しかし、これらのソリューションでは通常、各従業員または各管理対象デバイスに、キーや物理的なハードウェアデバイスを安全に配布する必要があり、管理上の負担が大きくなります。スマートカードには特別なソフトウェアが必要な場合が多く、互換性のあるアプリケーションも限られています。またオーバーヘッドが高く、制限もあるため、利用する組織は多くありません。
今日の主要なパスワードレスモデルは、オープンコミュニティの標準規格である Web 認証(WebAuthn)と Client To Authenticator Protocol 2(CTAP2)(FIDO Alliance で両者が FIDO2 としてまとめられています)に基づいて構築されています。従来のアプローチとは対照的に、これらのプロトコルは、Web ブラウザでネイティブにユーザを認証して登録できるように設計されていて、キーを配布するためのマネージドサービスを必要としません。WebAuthn ではブラウザ API が定義されていて、Web サイトがアクセスし、登録/ログイン手順を呼び出すことができます。一方、CTAP2 では、ローカルマシンに接続された認証デバイスにブラウザからアクセスするためのプロトコルが定義されています。
基本的に FIDO2 は、標準の公開キーと秘密キーを生成、登録、管理、利用して ID をアサートする便利な方法にすぎません。ただし、コミュニティで検証済みのオープンな標準として広く採用され、すべてのパスワードレス認証において、次の 2 つの認証機能を実現しています。
- FIDO2 認証では、ユーザが持っているもの(認証デバイスに保存されている暗号化秘密キー)と、ユーザが知っているもの(PIN)またはユーザ自身の生体情報を検証します。この両方を検証することで、WebAuthn と CTAP2 は、安心/安全なパスワードレス認証に必要な多要素認証の標準規格を満たしています。
- この認証方式は、認証ごとに送信元バインディングとチャネルバインディングを実施するため、フィッシング攻撃に強くなっています。送信元バインディングにより、WebAuthn の秘密キーが、意図した Web サイト以外では使用できなくなり、パッシブとアクティブ両方のフィッシング攻撃がブロックされます。チャネルバインディングはもう少し強力です。リソースにアクセスしようとするデバイスと、サービスに対する認証を担うデバイスが強くバインドされている必要があります。これら 2 つのデバイスは同じでも別々でもかまいませんが、チャネルをバインドすることで、攻撃者が匿名デバイスから認証を要求できなくなります。これにより、アクティブな中間者攻撃やプッシュフィッシング攻撃が阻止され、認証試行が有効かどうかをユーザが判断する必要がなくなります。WebAuthn には送信元バインディング機能が組み込まれています。また、Touch ID やセキュリティキーなど、アクセスデバイスに内蔵されているオーセンティケータ、またはアクセスデバイスに接続されているオーセンティケータのチャネルバインディングを継承します。他のパスワードレス ソリューション、特に、携帯電話などの別のデバイスに認証を委ねるソリューションでは、適切なチャネルバインディングが実施されていることを確認する必要があります。
WebAuthn と CTAP2 は現時点での最先端技術です。これらのプロトコルを本来の目的とは異なる方法で利用しているパスワードレス ソリューションでは、同じセキュリティ方式を維持する方法が明確に技術文書にまとめられている必要があります。
パスワードレス認証ソリューションのコンテキスト
認証ソリューションを評価する際には、認証フレームワーク自体の評価から始めなければならない場合がありますが、考慮すべきことはそれだけではありません。このシリーズでは、パスワードレス認証に関する懸念事項に焦点を当てていますが、読者の環境で使用されている認証ソリューションが、アプリケーション、ポリシー適用インターフェイス、デバイスの正常性/信頼性管理、ユーザの動的なふるまいへの対応、他の互換フレームワークとの標準プロトコルでのインターフェイスに関して、どのように対応しているかについて確認することも重要です。
パスワードレス化によって、認証ソリューションにおいてユーザが関与する面が大幅にシンプルになり、組織全体のユーザセキュリティのベースラインが高まる可能性がありますが、それらは、バランスの取れた堅牢な認証ソリューションのメリットの一部にすぎません。