ファイナンシャルスタンダードはクラウド利用時の認証で脱パスワードを採用した
IT（情報技術）システムの認証からパスワードをなくす動きが広がっている。新型コロナウイルス下で在宅勤務が進む中、漏洩リスクが高いという見方が強まったためだ。米マイクロソフトはメール「アウトルック」やチャット「チームズ」といった自社アプリで顔認証などを標準とした。導入コストも下がり始め、多くの企業が脱パスワードを検討すべき時期を迎えた。

スマートフォンに指をのせると、傍らのパソコンの画面が切り替わる。ほどなくして業務用のクラウドサービスの画面が表示された――。

独立系金融アドバイザーのファイナンシャルスタンダード（FS、東京・千代田）は6月、社員が業務用クラウドにログインする際に、パスワードを使うのをやめた。スマホの生体認証やアプリなどを組み合わせて認証するインターナショナルシステムリサーチ（ISR、東京・中野）のサービスに切り替えた。

FSの福田猛社長は「これまではパスワードが外部に漏れないか不安だった」と話す。コロナ下で在宅勤務が広がり、社外からクラウドを利用する機会が増える中、セキュリティー向上のため脱パスワードを選んだ。

パスワードの漏洩や、漏洩したパスワードを悪用されて不正侵入される恐れがなくなった上、福田氏は「使い勝手も良くなった」と目を細める。社員がパスワード入力のミスにより、クラウドに接続できずに時間を浪費することがなくなったためだ。

テレワーク環境のセキュリティー向上などを目的に、脱パスワードを進める企業が増えている。ISRのサービスは8月時点で約150社が利用する。認証サービス大手の米オクタが2021年3～5月に実施した調査では、日本企業の7%が脱パスワード認証を採用したと回答した。

IT大手も力を入れる。マイクロソフトは9月から一般ユーザーがアウトルックやチームズなどのアプリで、顔認証やUSBを活用した「脱パスワード」認証ができるようにした。3月に法人ユーザーに提供を始めており、対象を広げた。パスワードも引き続き利用できるが、「（顔認証などの方が）より便利に安全にアクセスできる」（同社）と積極的な設定を求めている。

米IBMもパスワードなしで認証が可能なID管理サービスに注力。日本でも国内のデータセンターに専用サーバーを設置し、今年4月に本格展開を始めた。

脱パスワードを進めるIT各社や利用企業には「パスワードは限界」という共通認識がある。

セキュリティー会社ソリトンシステムズは、1～8月に国内101カ所のウェブサイトから不正アクセスなどによりパスワードが漏洩したことを確認した。漏洩したメールアドレスとパスワードの組み合わせのうち、日本人が利用する割合が多い「jp」が含まれていたものは延べ約110万件に上った。

警察庁の調べでは、他人のパスワードを悪用した不正アクセスの摘発件数は20年に576件で、5年前から1.7倍に増加。手口の内訳は「フィッシングサイトにより入手」が29.9%、「利用者から聞き出しやのぞき見」が20%、「設定・管理の甘さにつけ込んだ」が17.2%だった。

破られやすいパスワードを使う利用者も多い。20年に国内外約230カ所のサイトから漏洩した日本の利用者のパスワードをソリトンが分析したところ、1位は「123456」だった。企業は安易なパスワードを使う社員を入り口に、業務システムなどに不正侵入を許す恐れがある。

パスワード認証は内部不正の対策でも弱点がある。社員が別の社員のIDやパスワードを盗み取り、機密情報を保管するサーバーに接続して情報を漏洩させるような事態を防ぎにくい。

イスラエルのサイバーアーク・ソフトウエアは「特権ID管理」と呼ばれる仕組みでこの弱点を防ぐ。従業員には必要最低限のアクセス権限のみを与え、追加でシステムを使う必要があるときは管理職などがその都度承認し、一時的に権限を割り当てる。セブン&アイ・ホールディングスが2月に導入し、数千人規模で利用しているという。

規模の小さい電子商取引（EC）サイトの大半はパスワード頼みだ。パスワードなしの認証に切り替えるにはサーバー改修が必要だが、対応ソフトの開発には仕様の検討期間を含めて数カ月、1000万円規模のコストを覚悟する必要もある。

もっとも、この障壁も解消しつつある。LINEが8月、サーバー用ソフトをオープンソースソフトウエア（OSS）として公開した。OSSを活用することによって開発期間を短縮でき、コストも数百万円規模の節約が見込める。

「認証といえばパスワード」という長年の慣習にとらわれず、脱パスワードに取り組むことが今、多くの企業に求められている。

（日本経済新聞）