2021年3月2日、Microsoftの年次カンファレンスで、リモートワークによるセキュリティの脆弱化に不安を抱える企業にとって朗報となる2つのニュースが発表されました。
一つはAzure ADでパスワードレス認証が標準機能となり、一般的に利用可能になったこと。
もう一つは、企業のパスワードレス認証への移行を安全・円滑化する新機能「Temporary Access Pass」のプレビュー版が公開されたことです。
「マイクロソフト、パスワード不要のログインを「Azure AD」の標準機能に」*外部リンクが開きます
このアップデートにより、Azure ADを利用する企業は安心してパスワードレス認証を展開できるようになりました。
パスワードレス認証なら、脆弱なパスワードを使用しないことでリモートワーク環境でも極めて強固なセキュリティを維持できます。
ここからは、パスワードレス認証の基本情報からAzure ADで実装する方法、具体的なセットアップ方法まで一通り見ていきましょう。
この記事の目次
Azure ADで標準機能となった「パスワードレス認証」が革新的な理由
パスワードレス認証は認証のあり方を変える
Microsoftは約3年前から「パスワード認証をなくす」という目標を掲げ、パスワードレス認証の普及に取り組んできました。
実際、パスワード認証は非常に脆弱で、2017年には33億の資格情報が盗まれたと報告されています。
ユーザー側の管理も大変な上、数か月おきのリセットやセキュリティサポートには無視できないコストがかかります。
そこで、パスワードレス認証についての基本的な知識と、新技術の「Temporary Access Pass」がパスワードレス化にどう貢献するか見ていきます。
パスワードレス認証を支える仕組みは「公開鍵暗号方式」
パスワードレス認証は、脆弱なパスワードに依存しないことで比類ない強度のセキュリティを実現できる認証方式です。
そのパスワードレス認証を支える仕組みが「公開鍵暗号方式」。
公開鍵暗号方式を使うことにより、本人へのなりすましが不可能に近いレベルの高い安全性を確立しています。
この方式では、まずオンラインサービスへの登録時にユーザー端末が「公開鍵」「秘密鍵」という鍵を1ペア生成します。
暗号化に用いられる公開鍵はサーバーに登録され、復号に用いられる秘密鍵はサーバーで共有されることなくユーザーのデバイスに保存。
秘密鍵は保存されたデバイス上でPIN・生体認証などのユーザー認証が行われてはじめてロックが解除され、複合に使用できるようになります。
そのため、秘密鍵の保存されたデバイスを物理的に所持しており、かつ秘密鍵のロックを解除できる人間でない限りサービスへのアクセス権限を証明できません。
例えば認証デバイスが盗難にあったとしても、デバイス自体にロックがかかっているため秘密鍵は取り出せませんし、そのデバイスからアカウントの情報を辿ることもできません。
さらに、秘密鍵は登録したサービスでのみ有効です。
仮にユーザーがフィッシングによって偽サイトへ誘導されたとしても認証には成功せず、不正アクセスを事前に阻止できます。
このようにパスワードレス認証は、機密情報をサーバと共有しないことで、情報漏洩の原因を根本的に解決しているのです。
多要素認証があってもパスワードレス認証は必要?
最近では、ID・パスワードに加えて認証アプリや指紋認証などを組み合わせる「多要素認証」が一般化しつつあります。
多要素認証もパスワード認証・SMS認証に比べるとはるかに安全で、高い強度のセキュリティが実現可能です。
しかし、認証手順がかなり煩雑で時間がかかり、管理コストが高額になるデメリットがあります。
この点パスワードレス認証は強固なだけでなく、多要素認証に比べて利便性が高く管理も簡単。
ID・パスワードの入力も必要なく、「指紋認証のみ」や「PIN入力+ワンタッチ」でスムーズに認証が完了します。
ユーザー側の生産性を高く保てる上、管理側のサポートコストも大幅に下げることができるのです。
新技術「Temporary Access Pass」は組織のパスワードレス認証への移行を円滑化
また、今回のカンファレンスではAzure ADの新機能「Temporary Access Pass(一時アクセスパス)」のプレビュー版も発表されました。
これは短時間のみ有効なワンタイムのログインコードを発行する技術で、企業のパスワードレス化をスムーズにします。
これまでAzure ADでパスワードレス認証を展開するには、ユーザー新規登録の際にまずパスワードを保存が必須で、それからパスワードレス認証を有効化する流れでした。
これでは、完全なパスワードレスとはいえません。
この問題を解消する技術が、一時アクセスパスです。
一時アクセスパスを使えば、新入社員の新規登録やアクセス権の復旧が必要な際、管理者は本人確認済ユーザーに一時的なアクセス権を与えられます。
その機会にユーザーがパスワードレス認証を登録することで、一連のプロセスからパスワードを完全に排除できるのです。
セキュリティ管理はよりシンプルに、ユーザーはこれまで以上に簡単にサービスへ登録できるようになります。
初めてパスワードレス認証をAzure ADで導入する際に最適な手段とは?
FIDO2セキュリティキーはパスワードレス認証の最適ツール
パスワードレス認証がいかに革新的だとしても、通常、既存のセキュリティ環境からパスワードレス認証へと移行するのは簡単ではありません。
そこで、まずは最も導入の障壁が低い手段を慎重に選ぶ必要があります。
ここでは、Azure ADでサポートされているパスワードレス認証の手段から、初めて導入するにあたってどの手段が最適か、メリット・デメリットを比較検討していきましょう。
実際にAzure ADでサポートされているパスワードレス認証は、主に次の3種類です。
- Windows Hello
- MicrosoftAuthenticator
- FIDO2セキュリティキー
この3種類はどれも最高レベルの安全性をもたらす認証方式なので、後は「既存の環境に導入する難易度」や「使い勝手」から考えていきます。
ユーザビリティの高さなら「Windows Hello」
「Windows Hello」はWindows10デバイスに搭載されている生体認証システムで、この3種類の中でも特に認証がシンプルで、抜群にユーザビリティが高いです。
ただし、既存の環境でWindows Helloが搭載されたデバイスを使用していない場合、導入のために莫大な初期費用がかかります。
最も初期投資が少ないのは「MicrosoftAuthenticator」
初期の費用という点で、最も導入障壁が低いのは認証アプリの「MicrosoftAuthenticator」です。
多額の初期投資は必要なく、安全性と利便性のバランスが取れたパスワードレス認証を実現できます。
関連記事:「SMSはもう限界!今すぐ組織に導入できる『二要素認証アプリ』トップ3」
ただ、こういった認証アプリにはスマートフォンが必須。
組織で使用するとなると、セキュリティ管理者が頻繁に入れ替わる社員全員のデバイスを常に管理し続けなければならないという意味で相応のコストがかかります。
これはアップグレードや紛失・破損などによって、ほぼ全ての社員が近い将来に新しいスマートフォンへと乗り換えるためです。
あらゆる環境でパスワードレス認証を展開できる「FIDO2セキュリティキー」
「FIDO2セキュリティキー」とは、Microsoft・GAFAなど世界トップのIT企業が多数加盟しているFIDOアライアンスが提供する次世代認証標準「FIDO2」を搭載した物理キーです。
FIDO2認証を取得した物理キーにも様々な種類がありますが、既存の環境からパスワードレス認証へ橋渡しするにあたって最適なのは【YubiKey5】。
YubiKeyはUSBドングル型の薄型キーで、世界で最も信頼されているFIDO2セキュリティキーの一つです。
FIDO2だけでなく「FIDO U2F」「PIV」「OTP」「OpenPGP」「静的パスワード」といった多数の認証プロトコルを1本でサポート。
加えてフォームファクタも「USB-A」「USB-C」「Lightning」「NFC」に対応しており、文字通りあらゆる環境ですぐにパスワードレス認証を導入できます。
導入に初期費用はかかりますが、1本6000円ほどで今後10年単位で使用できる耐久性があります。
スマートフォンのよう簡単に壊れることはなく、頻繁な入れ替えがない分セキュリティサポートのコストを抑えられます。
また、1本であらゆるデバイスでの認証に使用できるため、リモートワークにより高まる社外デバイスの使用ニーズも満たせるのです。
Azure ADでパスワードレス化を進めていく場合、まずYubiKeyを導入し、必要に応じてより高額なハードウェアセキュリティの導入を検討するといいでしょう。
まずは1本から:Amazon最安値でYubiKeyを試してみる
YubiKeyによるパスワードレス認証をAzure ADでセットアップする手順
ここからは、Azure ADにおけるパスワードレス認証へ移行するにあたって、YubiKeyを使ったパスワードレス認証のセットアップ手順を簡単に見ていきましょう。
セキュリティ管理者側の操作
まず、セキュリティ管理者側の操作。方法は非常にシンプルです。
- Azureテナントにログインし、ホームからセキュリティ、認証方法のページへと進みます。Azure ADで有効化可能な認証方法が一覧形式で表示されているページです。
- 「FIDO2セキュリティキー」を選択し、ユーザーを選択して保存します。
ユーザー側の操作
次は、ユーザー側からの操作です。
- ユーザーはアカウントでYubiKeyでセットアップするため、「セキュリティ情報」ページへ入り、「認証方法の追加」から「セキュリティキー」を選択します。
- セキュリティキーの追加をクリックすると、「NFC」もしくは「USB」が選択できます。デバイスがNFC対応でない場合、USBを選択しましょう。
- YubiKeyを手元に準備して画面の指示に従うと、Windowsがセットアップ手順を案内します。
- 案内に従うと「セキュリティキーにタッチ」するように指示されます。
- PINの作成を求められるので、6桁の文字列を入力してください。
- セキュリティ情報ページに戻るので、続けてYubiKeyに名前を付けます。
これでセットアップは完了です。
次回から認証方法としてセキュリティキーを選択し、ID・パスワードの入力なしにAzure ADを使ってサービスにログインできます。
ただし、ここで見たのはあくまで基本の設定です。
必要に応じてベンダーや代理店の導入サポートを受け、セッティングを使用環境や業務形態に最適化しましょう。
この先さらに普及していき、いずれは「常識」になるであろうパスワードレス認証。
今回のMicrosoftによる発表で、Azure ADを活用する企業はより簡単にパスワードレス認証を導入できるようになりました。
パスワードレス認証なら、多要素認証よりはるかにシンプルな認証方法で、比類なく強固にプロパティを保護できるようになります。
また、困難の伴う既存の環境からパスワードレス認証への移行期にはFIDO2セキュリティキー、特に「YubiKey5」を活用するのが最適です。
あらゆる環境ですぐに使い始められるため、デバイスを揃えるだけでAzure ADにおけるパスワードレス認証を展開できます。
パスワードレス認証の第一歩として、まずはYubiKeyを導入してみてください。
