データ侵害、フィッシング、ランサムウェアなど、具体的な手法に違いはあっても、攻撃の80%には盗まれた認証情報が関わっている。「Microsoft Identity」部門のコーポレートバイスプレジデント(CVP)であるJoy Chik氏は米TechRepublicに対し、「ユーザー名とパスワードは本質的に安全ではない」と述べた。それに、実際にパスワードが好きな人などいないし、皆、我慢して使っているだけだ。
「ユーザーを保護するには、より直観的で使いやすく安全な手段を、パスワードレスによって提供する方がいい」とChik氏は語る。
多要素認証(MFA)は「Azure AD」アカウントで2014年から利用できるようになったが、普及のペースは遅い。「ユーザー名とパスワードに加えて、さらに別の要素を使用するMFAは、ユーザーにとって採用が難しい。複雑であり、パスワードも引き続き使用するため、当社の多くの法人顧客では、IT部門がMFAを有効にしていない」とChik氏。「パスワードレスを有効にすれば、管理が大幅に容易になり、コストを削減できる。基本的に多要素認証と同じものをより安全に採用でき、ユーザー体験が向上する」
今では「Windows Hello」カメラのような生体認証が多くのノートPCに搭載され、認証アプリがスマートフォンやスマートウォッチで一般的に使われるようになっており、Appleがついに「FIDO2」のサポートを発表したこともあって、パスワードレスへの関心が高まっている。パスワードレス認証を使用するMicrosoftの消費者アカウントと法人アカウントは、2019年11月の時点で1億件で、2020年5月には1億5000万件に増加した。
Microsoftの15万人以上の従業員のうち、パスワードレスログインを選んだ従業員は90%にのぼる。「これは単に、IT部門がトップダウンで決定したというだけでなく、ユーザーが気に入っていて、より安全性が高いという理由もある」。これは珍しい組み合わせだ、とChik氏は強調する。
パスワードレスはコスト削減の手段にもなるという。「人々はパスワードを覚えない。ユーザーのパスワードリセットを手助けするだけでも、多大なITコストが発生する」とChik氏は述べた。Microsoftがパスワードレスに切り替えたところ、社内でのパスワード管理のサポートコストが80%減少した。
残り本文:約2944文字 ログインして続きを読んでください。