今こそパスワードとの付き合い方を考え直すべき理由

重要なデジタル資産をパスワードだけでは保護できなくなった理由と、より簡単でよりセキュアな新しいアプローチについて

パスワードは、コンピューターへの不正アクセスを防止し、サイバー脅威に対する防御を行うものと考えられていました。しかし残念ながら、現実は違いました。世界経済フォーラムによると、データ侵害の80%は脆弱なパスワードと認証情報の窃盗が原因であると報告されています。

パスワードは簡単に記録でき、ソーシャルエンジニアリングの被害を受けやすいだけでなく、友人との共有や推測が容易といった問題があります。人間は、入力しやすい文字列、名前やスポーツチーム、誕生年などの記憶しやすい文字列を含めるなど、非常に予測しやすいパスワードを選んでしまいます。Cybernewsの調査によると、最もありがちなパスワードとしては、123456、qwertypasswordがあります。また、アカウントごとに異なるパスワードを覚えなくてよいように、まったく同じか似ているパスワードを繰り返し使ってしまいます。

パスワードを長くし、定期的な変更を求め、複雑な設定を要件としても、Password12! Qwerty2023! のようなパスワードの再利用がさらに増え、予測のしやすさも高まるだけの結果になります。

これは、現実世界で、家の鍵を玄関マットの下に置いておくのと同じことです。 

パスワードに別れを告げるとき?

パスワードを廃止するか、少なくともパスワードの使用頻度を減らすときが来ていることは明らかです。

必要なのは、エンドユーザーにとってパスワードよりも使いやすい新しい認証方法です。この新しい方法には、貴重なデジタル資産を保護し、個人データを安全に保つために十分な堅牢性も必要です。

今では、パスワードを使わないさまざまな認証方法を選べるようになっています。たとえば次のような認証方法があります。

  • モバイル認証アプリケーション:プッシュ通知、チャレンジ&レスポンスコード、ワンタイムパスワードといった個人のモバイルデバイスを通したセキュリティ保護。
  • Windows Hello for Business:Microsoft Entra IDサービスでは、パスワードに代わって、認証用暗号キーが導入されました。認証キーは、Windowsデバイスに安全に保存され、ユーザーが選択した顔、指紋、またはPINでロックが解除されます。
  • FIDO2ハードウェアセキュリティキー:小さなUSBメモリに似ていますが、ユーザーの個人用暗号キーが安全に保存されます。ロックは、PINまたは指紋で解除されます。Windows、Apple、Androidのデバイスや、最新のWebブラウザーでサポートされています。
  • 生体認証:安全に保存されている個人用暗号キーのロックをユーザーの顔、声、または指紋を利用して解除することで、強力な二要素認証を提供します。 

パスワードレス化には次のような利点があります。

  • 機械ではなく人間のために設計された認証方法である。
  • セキュリティリスクを軽減しながら、ユーザーエクスペリエンスを改善する。
  • 一般の人や消費者からのデジタルチャネルに対する信頼感が高まる。
  • 高度なサイバー攻撃に対する堅牢な保護となる。
  • 説明責任と規制遵守を果たすための否認防止となる。
  • テクノロジーベンダーによって幅広く採用されている堅牢な標準ベースの手法である。

DXCの提供するサポート

パスワードの利用を縮小または廃止するプロジェクトは、すべてのユーザーに関係するものであり、ITインフラストラクチャとアプリケーションに影響が及びます。新しいパスワードレスの認証テクノロジーは十分にテストされ、大規模に展開されています。それよりも大きな課題は、ユーザーへの周知、ビジネスプロセスの調整、複雑なハイブリッドITインフラストラクチャへのパスワードレステクノロジーの統合などにあります。

DXC Technologyの支援により、お客様の組織にとって簡単でセキュアな方法を採用することが可能です。DXCのデジタルIDチームは、Microsoft、Thales、CyberArk、ForgeRockなどの主要なテクノロジープロバイダーと緊密に連携し、適切なパスワードレステクノロジーを選択してお客様を支援します。最近では、ヨーロッパのエネルギー企業が、事業運営にとってミッションクリティカルなテクノロジーにアクセスする300人の特権管理者について強力な認証を実現できるよう支援しました。また、米国の個人投資会社では、DXCの生体認証サービスにより、1,100万人の消費者がスマートフォンで自身の投資ポートフォリオに安全にアクセスできるようになりました。  

さらに、DXCの豊富な業界経験と関連規制に関する知識により、お客様は規制遵守を確実に達成および継続することが可能です。

今こそ、パスワードとの付き合い方を考え直すときです。DXCのデジタルIDの専門家が、いつでもご支援します。

 

DXCセキュリティの詳細はこちら

著者について

Martin Reilly 
DXC Technologyのデジタルアイデンティティオファリングマネージャー。過去20年以上にわたってデジタルIDに専門的に取り組み、企業の従業員IDや、政府発行の国民識別資格情報、銀行の本人確認手続き (KYC) やマネーロンダリング対策 (AML) の規制に関する支援に対応してきました。DXCに入社する前は、日立のAdvanced Software CenterでAIシステムを開発していました。また、決済、モバイル通信、電子チケット、交通、国民識別用アプリケーションのスマートカードテクノロジーにも取り組んでいました。
MartinとはLinkedInでつながることができます。