ゼロトラストに続くセキュリティーの注目技術は「パスワードレス」と「コンフィデンシャルコンピューティング」になりそうだ。クラウド大手である米Microsoft(マイクロソフト)の最近の発表からは、そんな傾向が浮かび上がる。マイクロソフトのセキュリティー技術の最新動向を見ていこう。
マイクロソフトは2021年3月2日(米国時間)に開催した自社イベントの「Microsoft Ignite」で、同社のIDプラットフォームである「Azure Active Directory(AD)」において「パスワードレス認証」の一般提供(GA、Generally Available)を始めたと発表した。
パスワードレス認証とは文字通り、パスワードを使用しない認証手法だ。ユーザーはWebアプリケーションなどにログオンする際にIDだけを入力し、パスワードは入力しない。代わりにマイクロソフトのスマートフォン向け認証アプリの「Microsoft Authenticator」やWindowsパソコンで利用できる生体認証機能の「Windows Hello for Business」、FIDO2規格に対応したセキュリティーキーを使って認証する。
例えばこのうちAuthenticatorを使う場合は、ユーザーがWebアプリにIDを入力すると、スマートフォンのAuthenticatorにログオンに関する通知が送られる。ユーザーがAuthenticatorで「承認」をタップし、指紋認証や顔認証などによる本人確認を済ますと、Webアプリへログオンできるようになる。
社内システムでもパスワードレス
マイクロソフトはこれまでも自社サービスである「Microsoftアカウント」などにパスワードレス認証を実装していた。今回、IDプラットフォームであるAzure ADにも展開した。これにより、ユーザー企業は社内アプリの認証基盤にAzure ADを使用すれば、社内アプリへのログオンでパスワードレス認証を実現できるようになった。
マイクロソフトでAzure ADのプロダクトマーケティング担当ディレクターを務めるIrina Nechaeva(イリーナ・ネチャエワ)氏はMicrosoft Igniteの基調講演で「脆弱なパスワードは企業の防衛システムにおける最も脆弱な穴になる」と指摘する。ユーザー企業がどれだけ厳重に認証システムを防御しても、ユーザーが同じパスワードを他のシステムでも使い回せば、他のシステムからパスワードが漏洩しかねない。
それに対してパスワードレス認証では、認証サーバーにユーザーのパスワードや生体認証データを登録する必要が無い。ユーザーの本人確認をするのは認証アプリなどの認証器であり、認証サーバーには認証器が生成した公開鍵だけを登録する。ユーザーのログオン時には、認証サーバーと認証器が公開鍵暗号方式による電子署名を使用して互いの正当性を検証する。
パスワードを使わないので、パスワードが流出する危険は無い。しかもユーザーが他のシステムで使用するパスワードなどが流出しても影響を受けない。マイクロソフトのネチャエワ氏は「パスワードレス認証は最も強力な認証手段だ」と強調した。
