• BLOG
  • パスワードのない未来へ

パスワードのない未来へ

2019年6月10日
パスワードのない未来へ

前回のブログ記事では、モバイルアイアンで実現できる「パスワードレスログイン」について紹介しました。

モバイル端末からクラウドサービスへログインする際に、パスワードの入力を省けるので、ユーザーエクスペリエンス(UX)が改善できますし、実はセキュリティの向上にも繋がります。

モバイル端末からログインする際にパスワードが要らなくなったけれど、パソコン等はどうでしょうか?特に、モバイルアイアンに管理されていないパソコン(Windows 7などの古いOS)からログインするときに、パスワードを入力しないといけないなら、「結局パスワードにサヨナラできないじゃん」と思います。

パスワードについても、見方が少しずつ変わってきています。今でも企業によっては3ヶ月に一回パスワードを変更するような仕組みがありますが、しかし最近の研究結果ではパスワードを定期的に変更するのは実はあまり意味のないことがわかりました。またパスワードを長くしたり、複雑にしたりしても、ブルートフォース攻撃に対しては一定の防御効果がありますが、パスワードの流出するルートはいくらでもあります。実際、パスワード自体が企業環境の中で一番大きなリスクの存在するものだと認識されつつあります。

企業の中では、パソコンにカードリーダーをつけて、社内の環境にアクセスする際に社員証を読み込むような仕組みを使っている場合もあります。しかし、よく考えていただければ、カードを持っているだけでは本人である保証のないことがわかります。また、本人であることが保証できるなら、パスワードを入力させる必要は本当はないでしょう。

 

image

 

このように、今我々の使っているパスワードベースの認証の仕組みには色んな問題点があります。できれば、パスワードベースの認証を他の何らかの方法に置き換えたいと、企業のセキュリティ専門家達が思っています。

モバイルアイアンのソリューションについて紹介する前に、一度コンシューマの世界を覗いてみたいと思います。

例えば、皆さんがよく使うLINEを見てみましょう。既にスマホにLINEアプリがインストールされ、ログインされているとしましょう。自分のパソコンに同じアカウントでログインしたい場合、メールアドレスとパスワードを入力する代わりに、スマホでQRコードをスキャンし、認証を行う手法がよく利用されています。

 

image

 

他にも海外でよく利用されるメッセンジャーアプリのWeChatやWhatsAppにも、同じようにQRコードで認証するスキームが用意されています。

 

 

image

 

image

 

モバイル端末にログインする際は、指紋認証や顔認証等の仕組みを利用して、生体認証を行うので、社員証やセキュリティカードよりは、確実に本人であることを証明できます。そのモバイル端末を使って、ユーザーIDとパスワードの代わりに様々なサービスへの認証に使うことができれば、利便性とセキュリティの両立が実現できます。

コンシューマの世界だけではなく、企業の環境でもそのような新たな先進的な仕組みを利活用する動きがあります。具体的なイメージは下記のデモビデオをご覧下さい。

 

 

 

 

ビデオの中では、エンドユーザーはパソコンからSalesforceにアクセスしようとしています。従来のユーザーIDやパスワードを入力する画面ではなく、パソコンの画面にQRコードが表示されます。そのエンドユーザーは自分の端末(管理対象端末、Managed Device)にインストールされているMobileIronアプリ(管理対象アプリ、Managed App)を起動して、画面上のQRコードをスキャンします。そうすると、認証が完了して、該当するユーザーのアカウントでSalesforceへのログインができました。

モバイルアイアン はパスワードにサヨナラを告ぐ、利便性とセキュリティの両立できる世界を実現していきたいと思います。

Richard Li

Richard Li , Senior Channel Sales Manager

著者について

2013年〜2017年モバイルアイアンジャパンの立ち上げに参加し、エンジニア、営業、そしてエバンジェリストとして活躍。 2017年以降の2年間、エンドポイントセキュリティ業界でエンジニアとして働いた後、2019年からモバイルアイアンジャパンのチャネルビジネスを担当。

同様のブログ