「ゼロトラストモデル」のおかげでスタートアップ企業もパスワードレスに

「時が経てば、人々がパスワードに頼らなくなることは間違いありません【略】パスワードは、本当に安全性を確保したい場合の課題を満たしていません」と、Bill Gates(ビル・ゲイツ)氏は言った。

今から17年前のことだ。パスワードはいくらか魅力を失ったものの、これまで何度も死滅の危機を乗り越えてきた。

高額な費用と厄介な実行という認識から、一部の中小企業はパスワードの廃止に踏み切れないでいる。しかし、パスワードに代わるものは、手頃な価格で簡単に導入でき、より安全であることが、Extra Crunchが収集した業界の洞察で明らかになった。ゼロトラストのシステムに移行することが、それを促進させる要因となる。

まずは基本的ことから説明しよう。ゼロトラストは「どこにいるか」ではなく「誰であるか」に焦点を当てたものだ。ゼロトラストモデルでは、企業はネットワークにアクセスしようとする試みを決して信用せず、ネットワーク内部からのログインであっても、毎回検証することが求められる。パスワードレス技術は、ゼロトラストモデルの重要な要素である。

パスワードに代わるものには、以下のような方法がある。

  • 生体認証:スマートフォンの指紋リーダーや建物の物理的な認証ポイントとして広く利用されている
  • ソーシャルメディア認証:Google(グーグル)やFacebook(フェイスブック)のIDを利用して、第三者のサービスで本人を認証する方法
  • 多要素認証:信頼できるデバイスを使用したトークン認証など、デバイスやサービスを使用してより多くの認証レイヤーを追加したもの
  • グリッド認証カード:組み合わせたPINを使用してアクセスを提供する
  • プッシュ通知:通常、ユーザーのスマートフォンや暗号化されたデバイスに送信される
  • デジタル証明書:マシンやデバイスにローカルに保存されている暗号ファイル

フィンランド発のフードデリバリーサービス「Wolt(ウォルト)」は、パスワードレス化の一例だ。

「ユーザーは、メールアドレスまたは電話番号を入力して登録します。アプリへのログインは、ユーザーの受信箱にある一時的なリンクをクリックすることで行われます。ユーザーの携帯電話内のアプリは認証Cookie(クッキー)を設置し、これによってユーザーはさらなる認証を受けることなく、そのデバイスから続行することができます」と、F-Secure(エフセキュア)のCISO(最高情報セキュリティ責任者)であるErka Koivunen(エルカ・コンヴネン)氏は述べている。

この場合、サービス提供者は認証を完全にコントロールすることができ、有効期限の設定、サービスの取り消し、不正行為の検出が可能になる。サービス提供者は、ユーザーがパスワードを管理するという約束を当てにする必要がない。

パスワードレス技術は、本質的にコストが高くなるわけではないが、調整が必要な場合もあると、マネージドサービスプロバイダのDatto(ダット)でCISOを務めるRyan Weeks(ライアン・ウィークス)氏は説明する。

「多要素認証には、簡単にアクセスできて投資を必要としないオープンソースの代替手段がたくさんあるので、金銭的な出資という意味では、必ずしもコストが高いわけではありません」と、ウィークス氏はいう。しかし、パスワードレス技術が、従業員の生産性に摩擦を与えるのではないかと懸念する企業もある。

コンヴネン氏はまた、ゼロトラストモデルはスタートアップ企業が手を出せるものではないという説を否定する。

「ゼロトラストは、ユーザーに秘密にしておくべきものを提示して認証を強いることの無意味さを認識し、その代わりに、コンテクストアウェアを考慮した方法でユーザーのアイデンティティを確立することが望まれます」と、同氏はいう。

ゼロトラストは、ユーザーを認証するだけでない。ユーザーとそのデバイスも含む。

「ゼロトラストの観点には、信頼発生の継続的な認証または再検証という考え方があります。それゆえに、ゼロトラストモデルにおけるパスワードレスは、ユーザーにとってより簡単で、より安全になる可能性があります。『あなたが何を持っているか』と『あなたが何者であるか』という要素を組み合わせることで、より攻撃が難しくなるからです」と、Dattoのウィークス氏は述べている。

Microsoft(マイクロソフト)やGoogle(グーグル)などの大企業は、すでにゼロトラスト技術を提供している。しかし、投資家は、成長中の企業向けにゼロトラストを提供する中小企業にも注目している。

遠隔地にいる従業員が会社のネットワークにアクセスできるようにするためのゼロトラストを提供するAxis Security(アクシス・セキュリティ)は、2020年3200万ドル(約35億2000万円)を調達した。Beyond Identity(ビヨンド・アイデンティティ)は、2020年12月に7500万ドル(約82億5000万円)の資金を調達。また、イスラエルのID検証スタートアップであるIdentiq(アイデンティク)は、2021年3月にシリーズAラウンドで4700万ドル(約51億7000万円)を調達している。

関連記事:在宅勤務中のセキュリティ確保を支援するAxis Securityが約34億円を調達

カテゴリー:セキュリティ
タグ:パスワード個人認証ゼロトラストモデル

画像クレジット:Mary Ne / Getty Images

原文へ

(文:Chandu Gopalakrishnan、翻訳:Hirokazu Kusakabe)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。