2021年3月2日にマイクロソフト社はプライベートイベント「Microsoft Ignite 2021」で「Azure Active Directory(Microsoft Entra ID)」の標準機能としてパスワードレス認証を提供すると発表しました。
Microsoft Entra IDは、2要素認証やシングルサインオンといった安全性の高いアクセスとIDの保護を実現します。Microsoft Entra IDに関しては、「Microsoft Entra IDとは?(旧称:Azure AD)Active Directoryとの違いとメリットについて」でも紹介しています。
今回は、パスワードレス認証がなぜ重要視されているのか、メリット・デメリット、Microsoft Entra IDにおけるパスワードレス認証に関してご紹介します。
パスワードレス認証が求められる背景
認証で最も使われているパスワードですが、下記のような3つの課題を抱えています。
- 1.パスワードは覚えづらい
-
安全なパスワードの条件には下記のような項目が挙げられ、覚えるのは困難です。
安全なパスワードの条件
- 文字列は長めにする(12文字以上を推奨)
- 大小英字、数字、記号を組み合わせる
- 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びは使わない
- ログインIDや他のサービスで使用しているパスワードは使用しない
- 2.サポートの負担がかかる
-
従業員がパスワードを忘れた場合、パスワードリセット作業でヘルプデスクに負荷がかかる恐れも考えられます。
- 3.パスワードは狙われている
-
パスワードを狙った攻撃は、パスワードリスト型攻撃やパスワードスプレー攻撃などが存在しています。
パスワードが攻撃者に漏れてしまうと、アカウントを乗っ取られてしまったり、闇サイトで売買されてしまったりといった被害が考えられます。
パスワードレス認証とは?
このパスワードの問題を解決するのが、パスワードレス認証です。
パスワードレス認証とは多要素認証の一種で、パスワードの代わりに指紋やPINなどを使用する認証方式です。(多要素認証の概要は「多要素認証とは?二要素認証・二段階認証との違いを解説」で解説しています。)
パスワードレス認証を採用すれば、難しいパスワードを覚えておく必要もなくなります。よって、セキュリティの向上とサポートコストの削減が実現します。
ガートナーは、2022年までに大規模なグローバル企業の60%、中規模企業の90%がパスワードレス認証方式をユースケースの50%以上に採用すると予測しており、パスワードレス認証を導入する組織は増えていくことでしょう。
パスワードレス認証のメリット・デメリット
-
1.セキュリティを強化
フィッシングやパスワード攻撃のリスクを縮小します。
2.手軽さを実現
簡単で便利な方法で認証ができますので、複雑なパスワードの設定に悩むことがなくなります。
-
1.万が一、デバイスを紛失・忘れたときが大変
パスワードであれば再発行できますが、認証に必要となるハードウェアを忘れてしまうとログインできません。
2.認証方法によっては、従業員のストレスにも
従業員の中には指紋や顔写真などの生体情報の登録に対して抵抗を感じる方がいるかもしれません。
Microsoft Entra IDのパスワードレス認証でできること
パスワードレス認証の機能自体は、Microsoftの個人向けアカウントで実装されていました。今回の発表で、組織向けMicrosoft 365の認証に利用されているMicrosoft Entra IDにおいても、パスワードレス認証が使えるようになりました。
管理者がこの機能を有効にすると、Microsoft AuthenticatorアプリケーションやFIDO2に対応したセキュリティキーなどとWindows Hello for Businessの生体認証を組み合わせることが可能です。
例えば、従業員がMicrosoft Entra IDのアカウントを利用してデバイスにログインする際に、スマートフォン等にインストールしたMicrosoft Authenticatorアプリケーションを利用して認証できるようになります。
Microsoft Entra IDにおけるパスワードレス認証の設定方法
パスワードレス認証として、下記の流れのとおり管理者と従業員両方の設定が必要です。
- 管理者:パスワードレス認証を有効化
- 従業員:アプリケーションの導入・設定
-
- 全体管理者アカウントを使用して、Azure portal にサインイン。
- Azure Active Directory を検索して選択し、 [セキュリティ] > [認証方法] > [ポリシー] の順に移動。
- [Microsoft Authenticator] で、次のオプションを選択。
- 有効にする - [はい] または [いいえ]
- ターゲット - [すべてのユーザー] または [ユーザーの選択]
追加された各グループまたはユーザーは既定で、パスワードレスとプッシュ通知の両方のモード ("任意" モード) でMicrosoft Authenticatorが使用可能に。
これを変更するには、各行に対して次のことを行う。
- [...] > [構成] の順に移動。
- 認証モード - [任意]、[パスワードレス]、または [プッシュ]
- 新しいポリシーを適用するには、 [保存] を選択。
-
- https://aka.ms/mysecurityinfoにサインイン
- 次に [方法の追加] > [認証アプリ] を選択、 [追加] を選択し、Authenticatorアプリケーションを追加。
- 指示に従って、対象のデバイスに Microsoft Authenticatorアプリケーションをインストールして構成。
- [完了] を選択して、Authenticatorの構成を完了。
- Microsoft Authenticatorで、登録したアカウントのドロップダウンメニューから [電話によるサインインを有効にする] を選択。
- アプリケーションの指示に従って、パスワードなしの電話によるサインインに対するアカウントの登録を完了。
参考
Microsoft Entra IDでパスワードレス認証の実装に関する動画
Microsoft Entra IDでパスワードレス認証の実装については、YouTubeでMicrosoft Azureチャンネルで紹介されています。
英語での説明にはなりますが、日本語の字幕を設定できます。
字幕の設定方法(日本語)
- 歯車のアイコンをクリック
- 字幕>英語をクリック
- もう一度字幕をクリック
- 自動翻訳>日本語をクリック
まとめ
今回は、注目されているパスワードレス認証とは何か、メリット・デメリットと、Microsoft Entra IDのパスワードレス認証でできることについてご紹介しました。
SaaSサービスの利用増加につれ、パスワードの設定は適当になりがちです。この機会にパスワードレス認証を導入し、セキュリティ強化を検討してみてはいかがでしょうか。
Microsoft Entra IDの導入・設定に関するご相談は、JBサービスまでお気軽にお問い合わせください。
