パスワードレスな未来は完全には訪れないかもしれない

エンタープライズCISOたちは、10年以上前からパスワードからの脱却を試みてきましたが、多くのレガシーシステムがパスワード以外を想定して設計されていなかったため、技術的な障壁に直面しています。

その結果、パスワードレス革命は、その約束や、ますます盗まれやすく悪用されやすくなっているパスワードを生体認証やワンタイムパスコード、セキュリティキーなどに置き換えるという魅力的な前提にもかかわらず、完全に実現することはないかもしれません。

最近のRSAレポートによると、「パスワードレスの導入は停滞しており、90％の組織がカバレッジのギャップやユーザー体験の悪さによる課題を報告しています。」

課題は多岐にわたります。レガシーな産業システム、自社開発アプリ、ドアや施設のアクセスシステム、IoTだけでなく、パスワードレスソリューションの通常のワークグループ展開でさえ、決して「通常」ではありません。異なるオペレーティングシステムや特殊なアクセス要件は、通常、企業が複数のパスワードレスパッケージを導入する必要があることを意味し、これがコスト増や時間の浪費、運用の遅延や摩擦を生みます。最悪の場合、攻撃者が複数のパスワードレスシステムの隙間を突こうとするため、新たなセキュリティホールが生まれることもあります。

セキュリティアナリストや実務者は、ほとんどの企業が既存のパスワードレスオプションで脅威の75％から85％をカバーできると見ています。しかし、最もパスワードレス化が困難なシステムを含む残りの15％こそが、本当の頭痛の種です。

「その最後の15％を埋めるのは特に難しいでしょう。特に組み込みシステムや産業用制御を含むOT（運用技術）環境では」と、Moor Insights & StrategyのVP兼主席アナリストであるウィル・タウンゼント氏は語ります。「OT、IoT、組み込みLinux、そして製造分野のものは特に難しいでしょう。」

タウンゼント氏はさらにこう付け加えます。「DIYのものは特に厄介です。このプロセスは、これらの異なるツールを管理する上でリスクも生み出します。それでも、短期的な摩擦を上回る大きなメリットがあります。」

パスワードレスの課題とリスク

もう一つの重要なパスワードレスの課題は？選択肢が多すぎることです。どのパスワードレス方式にするのか？FIDO2か生体認証か？生体認証なら顔・網膜・指紋・静脈位置のどれか？それぞれに長所と短所があり、企業は多様な方式を必要とするため、管理の手間も大きくなります。

さらに、パスワードレス機構が失敗した場合のバックアップの問題もあります。もし設計上、パスワードにフォールバックするなら、それは本当の「パスワードレス」ではありませんよね？ 

「パスワードレスの実装は、危険な死角を残しがちです。パスワードは依然としてパスキーの登録やリカバリーフローの中に潜んでいます」と、NametagのCEOであるアーロン・ペインター氏は言います。「こう考えてみてください。誰がパスキーを登録・リセットしているのか、本当にどうやって分かるのでしょう？攻撃者はパスキーの暗号を破る必要はありません。彼らは最も弱いリンク――ヘルプデスクの電話、SMSコード、『パスキーにアクセスできない』ボタンなど――を狙います。パスワードとパスキーの両方を持ち続けることで、組織は攻撃対象領域を拡大してしまうのです。」

ペインター氏はさらにこう述べます。「本当のパスワードレスへの移行は、登録やリカバリーにもログインと同じフィッシング耐性を持たせ、最新のモバイル暗号技術と生体認証、ライブネス検証を組み合わせた時にのみ実現します。」

RSAのレポートは、企業環境の複雑さが最大の障壁になり得ると指摘しています。

「複雑な環境、多様なユースケースやユーザーグループが、組織にとって包括的なパスワードレス導入の障害となっています。ほとんどの組織はハイブリッド環境で運用しており、多様なユーザーやユースケースをサポートしなければならないため、アイデンティティ専門家はすべてのユーザーにパスワードレス認証を提供するために多様なフォームファクターを使う準備をしています」とレポートは述べています。 

RSAレポートはさらに、セキュリティ責任者たちがパスワードレス導入の遅れの理由について意見が分かれていることも指摘しています。「57％の回答者がセキュリティ上の懸念がパスワードレス化を遅らせていると答え、56％がユーザー体験への懸念、52％がレガシーアプリやサードパーティシステムを含むプラットフォーム全体のサポート不足が主な課題だとしています。」

完全パスワードレス戦略の限界

ジム・テイラー氏（RSAの最高製品・戦略責任者）は、今日の企業環境と既存のパスワードレスアプローチでは「100％パスワードレスはまだ実現できない」とし、「85％は可能だが、残りの15％は複雑で非常に特殊なニーズ――例えば世界の反対側の建物にアクセスするためにドアにログインする必要があるセキュリティ管理者――が該当する」と述べています。

重要インフラを支える企業は、特にパスワードレス化のハードルが高いとテイラー氏は指摘します。「重要インフラの場合、古いスイッチ類を見てください。掘削現場では、これらが切り離されたミニ・エアギャップネットワークになっています。今は衛星がこれらをつなぎ始めています。」

テイラー氏は、企業が100％パスワードレス準拠を達成できるのは「今後数年以内、最後の1％を達成するには3年かかるかもしれません」と見積もっています。

パスワードレス論争の一部はROI戦略に焦点を当てています。虹の彼方の金塊は、すべてのパスワード認証情報が排除されることです。つまり、パートナー企業の侵害で流出した12か月前の管理者パスワードを持つ攻撃者がいても、何の価値もない状態です。しかし、いくつかのパスワードをサポートし続ける限り、そのような攻撃のリスクは残ります。 

セキュリティ実務者の間でも、100％達成しなくてもどれだけの効果があるかについては意見が分かれます。「パスワードを一つでも減らせば、セキュリティ体制はわずかに向上し、リスクプロファイルも若干下がります」とテイラー氏は言います。 

オレグ・ナウメンコ氏（Hideez CEO）は、CISOはパスワードレス戦略でどのシステムから優先的に対応するか、戦略的に考えるべきだと述べます。

「すべての稼働中の技術を一つの技術でサポートすることはできません。それは不可能です。もし企業が特権ユーザーや重要システムの保護から始めれば、それだけで大きくリスクを減らせます。しかし、より多くのユーザーに対応するために簡単な統合から始めると、改善は表面的なものにとどまります」とナウメンコ氏は言います。「多くの企業は、クラウドサービスのパスワードレスアクセスから始めますが、それは簡単だからであり、より複雑でリスクの高いシステムはパスワード依存のままです。私は通常、その順序を逆にし、最も特権のあるユーザーから始めることを勧めています。」

最も影響力のあるユーザーに焦点を当てることで、パスワードレスの進行はよりスムーズになるとナウメンコ氏は主張します。 

正しい順序が重要

「管理者やエンジニアは最も広範なアクセス権を持っているので、彼らにパスワードレスが機能すれば、組織全体へのスケールもずっと簡単になります」とナウメンコ氏は述べ、まず各サービスがパスワードレスSSOをどのようにサポートしているかを評価することを勧めています。

「ほとんどのクラウドアプリはSAMLやOIDCで簡単に統合できますが、レガシーやカスタムシステムは別のアプローチが必要です。最初の選択肢は、パスワードレスSSOで保護されたVPN経由でアクセスを制限すること。より高度な選択肢は、パスワードレスアクセスを直接可能にするリバースプロキシサービスを使うことです。」

オル・フィンケルシュタイン氏（Secret Double Octopusマーケティング責任者）は、レガシーシステムに実際にはパスワードを与えていないのに、パスワードが入力されたと認識させる手法が効果的だと述べています。

彼のクライアントが使ったテクニックの一つは、「レガシーパスワードフィールドを乗っ取り、ユーザーが選んだパスワードを、認証ごとにローテーションするマシン生成の一時トークンに置き換える」というものです。「技術的にはそれもパスワードですが、人間はそれを見ることも使うこともありませんし、パスワードのサイバーセキュリティ上の弱点もなく、フィッシングもされません。」 

「APIベースの認証である限り、私たちがそれをカスタマイズしてパスワードなしで動かすことができます」とフィンケルシュタイン氏は述べ、業界の圧力によりパスワードレスは既成事実になったと主張します。「結局、コンプライアンス要件やサイバー保険、あるいは次の人が導入せざるを得なくなるような侵害のために、パスワードレスを導入することになるでしょう。」

パスワードレス導入を複雑にするもう一つの要因は、パスワードレスをまだ受け入れていない重要な機器パートナー――小売業のPOSプロバイダーなど――への対応です。彼らがパスワードを必要とするシステムを提供している場合、企業がそれを回避するのは難しいことがあります。

エリック・アヴァキアン氏（Info-Tech Research Group技術カウンセラー）は、パスワードレスの意思決定の一部を、CISOが多要素認証（MFA）で行ってきたものと同等だと考えています。

MFAは技術ではなく、一連の認証メカニズムの選択肢です。FIDO2、パスキー、認証アプリなどは比較的堅牢ですが、特に暗号化されていないSMSなどは比較的弱い選択肢です。 

多くの企業はMFAをサポートしていると誇らしげに言いますが、MFAメカニズムの堅牢さに注目しないことで、本質を見失い、サイバーセキュリティの保護を損なっています。 

同じ問題が、パスワードレスの傘の下でさまざまな認証オプションを選ぶ際にも存在するとアヴァキアン氏は言います。「MFAの教訓を学ばなければなりません」と彼は述べ、利便性を保護より優先してはいけないと意見します。「セキュリティ面とユーザー体験面の両方が重要です。」

「理論上はパスワードレスは非常にシンプルに聞こえますが、実際には、組織の環境が思った以上に異種混在であったり、長年根付いたプロセスに大きな変化をもたらす際に組織文化が障壁となったりして、しばしば障害に直面します」とアヴァキアン氏は指摘します。「多くの点で、パスワードレスへの移行は、ほとんどの組織がゼロトラストモデルへの移行に取り組む方法と非常に似ています――単発のイベントではなく、数年かけた多段階の旅なのです。」