組織は悪いパスワード習慣を解決するためにSSOやパスキーへ移行

出典: 1800 designer491 / Alamy ストックフォト

新しい調査データによると、組織はパスワードレス認証の導入を強力に推進しています。

2025年のオンラインアカウントのパスワードの多くは、依然として基本的で簡単に破られるもののままです——これはほとんどの人にとって驚きではないでしょう。しかし先月、Dark Readingは読者に、現在自分たちの組織がパスワードのセキュリティをどのように扱っているかを尋ねました。その結果は、意外にも楽観的なものでした。

21世紀の第2四半期に入り、問題に新たな応急処置を施すのではなく、組織はついにパスワードがほとんど、あるいは全く不要な未来に向かって動き始めているようです。

パスワードは機能しない

パーソナルコンピュータが普及してから約半世紀、ユーザーは新しくて難しいパスワードを考え出す十分な時間がありました。しかし、実際にはその時間を他のことに費やしていたようです。

Outpost24のSpecOpsの研究者たちは最近、8億件の漏洩したパスワードのデータを分析しました。よくある「password」や「abc123」などの典型的なパスワードを数えるのではなく、祝日をテーマにした基本的なパスワードのみを調査しました。この限定的な条件でも、サンプル内の他の多くの推測しやすいパスワードを無視しても、約75万件の該当パスワードが見つかりました。

「santa」を使っていたアカウントは約10万件、「snow」で保護されていたものは20万件以上ありました。ホリデーショッピングをする人は「blackfriday」や「cybermonday」を使い、何千人ものユーザーが「xmas」「rudolph」などを選び、他にも「kwanzaa」や「hannukah」など自分の信仰を表すパスワードを使う人もいました。

要するに、弱いパスワードは決してなくならないということです。しばらくの間——そして今でも頻繁に——組織はこの事実を無視し、より良いパスワードの運用を強制しようとしました。最初で最悪の解決策は、従業員に記号や数字、大文字小文字を組み合わせた複雑な文字列を作らせることでした。

多要素認証（MFA）はより良いアイデアでしたが、攻撃者がその弱い形態を次々と突破するようになりました。今ではセキュリティリーダーも慎重になっています。アクセス制御ベンダーのPortnoxはWakefield Researchを通じて、米国の大手組織の200人の最高情報セキュリティ責任者（CISO）を対象に調査を行いました。そのうち実に96%が「MFAは今日の脅威環境に対応できない」と考えていると答えています。

最近では、「パスワード衛生」の限界から、組織は一斉にパスワード自体を廃止する方向へ動き始めています。

企業はより安全な認証方式を採用

10月、Dark Readingは読者に自分たちの組織がパスワードのセキュリティをどのように扱っているかを尋ね、その回答は前向きな傾向を示しています。

回答者の4分の1強は、従業員に非常に複雑なパスワードを作成させており、その結果パスワードをExcelやiPhoneのメモアプリに保存せざるを得なくなっている組織で働いています。

約17%の回答者は、より安全なパスフレーズ（理想的にはランダムだが覚えやすい単語）を使うよう求められています。

さらに5分の1の回答者は、パスワードマネージャーを利用しており、これはパスワード認証においてはるかに安全で使いやすい解決策です。

調査回答者の中で最も多かったのは、全体の3分の1を占める、シングルサインオン（SSO）やパスキーを使ってアカウントにアクセスしている層で、これにより静的なパスワードの使用が大幅に制限または完全に排除されています。

すでに最大の割合を占めていますが、Sectigoのシニアフェローであるジェイソン・ソロコ氏は「プラットフォームがデフォルトでパスキーを提供し、リアルタイムのフィッシングがパスワードやワンタイムコードへの信頼を蝕み続ける中、SSOとパスキーへの移行が着実に進むと予想されます。パスワードマネージャーやパスフレーズの利用者も徐々に移行し、従来型の利用者はクラウド中心や規制の厳しい環境で最も早く減少するでしょう」と述べています。

パスワードレス認証への逆風

読者アンケートには限界があり、サイバーセキュリティに敏感な組織が過剰に代表されている可能性もあります。しかし、Dark Readingの調査結果は他のアナリストの調査結果と比べても控えめなものです。

PortnoxのCISOレポートでは、実に92%の回答者がパスワードレス認証を導入していると答えています。この数字はわずか1年前には70%でした。同様に、2025年初頭のKeeper Securityのレポートでは、80%の組織がパスキー認証を導入済み、または導入を計画していると報告しています。

「これは単なるセキュリティ対策のチェックではありません」とPortnoxのCEO、デニー・ルコンプト氏は言います。「この動きは実際のビジネスインパクトによって推進されています。回答者の52%はフィッシングやパスワードの使い回し、認証情報の悪用リスクの低減を挙げ、41%はログイン失敗やリセット依頼の減少による生産性向上、39%はユーザー体験の向上（パスワードレス認証による）を挙げています——これは導入を促進する重要な要素です。」

このように見てみると、セキュリティリーダーがパスワードレス認証を普遍的に導入したいと考えている一方で、実際に導入済みの組織はまだ少ないというギャップがあるようです。BeyondTrustのシニアセキュリティリサーチマネージャー、フレッチャー・デイビス氏は、3つの大きな逆風を挙げています。「レガシーアプリケーションやインフラにおける最新認証方式のサポート不足、ワークフローの混乱に根ざしたユーザーの抵抗、そして最新認証方式を安全に導入・実装するための初期コストです。これらの障壁はしばしば相乗効果を生み、レガシーシステムが移行や実装コストを押し上げ、導入の遅れやユーザーの摩擦期間の延長につながります。」

彼は「これらの障壁の結果、組織は麻痺状態に陥ります。チームはパスワードベースの認証に依存し続けますが、それは安全や効率のためではなく、前進するには技術移行、資金配分、文化的受容の同時進行が求められるからです」と述べています。