中小企業診断士に求められる知識、スキルは多岐にわたっていると思いますが、ITリテラシーも重要な要素の一つです。企業の売り上げを拡大するDXの推進や企業価値向上につなげる攻めのITから、コスト削減や情報セキュリティの強化などの守りのITといった話題で以前記事を書きましたが、今回はその情報セキュリティの一つにフォーカスして記事をまとめてみました。

パスワードレス認証

コンピュータセキュリティの認証方式ではパスワード認証が一般的です。以前までのコンピュータシステムであればパスワード認証で十分なセキュリティ強度を保つことができておりましたが、マルウェアなどの感染によるアカウント情報の流出やフィッシングサイトによるパスワードを含む個人情報の流出が当たり前のようにニュースで報道されるような社会になってきており、パスワード認証だけではセキュリティを十分に担保できない時代であると言えます。

また、スマホなどモバイル端末の普及により一般の個人向けサービスが多岐にわたるようになってきており、一人で複数のサービスを利用してそれぞれにアカウントとパスワードを設定し、大量のアカウント情報を個人で管理しなければいけない時代でもあります。サービスが充実する半面、パスワード管理の負担が増していく状況です。

そのような中、パスワードだけに頼らず別の仕組みで認証システムを実現するパスワードレス認証が最近増えてきました。

パスワードレス認証と呼ばれる認証の仕組みには以下のようなものがあげられます。

生体認証　多要素認証
　従来のパスワード認証に加えてIDカードや生体情報と組みあわせて認証する仕組み
デバイス認証
　多要素認証の一種でパスワード認証とデバイスの組み合わせで認証する仕組み
マジックリンク
　一回だけ有効な接続用の認証リンクをユーザーに送り、アクセスさせることで認証する仕組み
Single Sign On（SSO）
　事前に認証した情報をシステム側で保持し、一定期間認証プロセスを内部で自動代行する仕組み

簡単な説明だけで済ませてしまっていますが、ここであげた認証システムはパスワード認証と組みあわせて補完する仕組みです。従来のパスワード認証と組みあわせて、もしくはパスワード認証の技術をベースにして表面上の認証手順を簡略化している仕組みとなります。

これらの仕組みに加えて最近ではパスキーという認証方式をよく目にするようになりました。少し気になっておりパスキーの仕組みを調べてみましたので簡単に紹介します。

パスキー

パスキーの実態は暗号鍵認証方式となります。
ネット上のサービスを利用する際にあらかじめデバイス（例えばスマホ）側で公開鍵と秘密鍵を生成し、公開鍵をサービス側へ保管しておく処理が必要となります。これはユーザーが意識せずとも初回登録時などにサービス側とデバイス側（アプリ側）で自動で処理されるような仕組みになっているはずです。
次に個人認証のプロセスですが、指紋認証などでデバイスで本人を認証する形となります。サービス側（サーバー側）にパスワードを入力するのではなく、認証のプロセスとしてまずはデバイスで完結させて、デバイスを利用しているのが本人であることを最初に認証してしまいます。
デバイスで認証後は、デバイスで保持している秘密鍵で暗号化したダイジェストをサービス側に送信する、ログイン先サービスで保持している公開鍵で正常に復号化できれば認証は成功するという流れになります。ここでサービス側に流れる情報はパスワードではなく、秘密鍵で暗号化したダイジェスト（意味のない文字の羅列）だけなので、万が一情報が流出しても個人情報が侵される可能性は低いということになります。デバイスで認証をするところを除いて、全体のプロセスは一般的な公開鍵暗号化方式と似ています。

このように本人認証とサービスとの認証を切り離すことで安全性を高めている特徴があります。ただし、特定のサービスごとに事前定義が必要な認証方式のため初回登録の内部処理が多少複雑になっていますが、この部分はユーザーがあまり意識をすることが無いようにアプリ側のほうで自動で処理してくれるようになっているはずです。

また、パスキーはパスワード入力などが不要となる反面、上述のようにデバイスと連携した認証方式ですのでスマホ紛失や機種変更時の対応が面倒になる可能性があります。

まとめ的なコメント

悪意のある攻撃者側の技術は日々進化していますが同様に対策する側の技術も進化を続けています。私が働き始めてすぐのころ研修講師の先生がIT技術セミナーに参加した話をしてくださいましたが、当時コンピュータウィルスの仕組みを参考にしてクライアントサーバーシステムに置き換わる新しい仕組みが出てきたという話を紹介してくれました。その技術は今ではPC管理ソフトのSKYSEAのようなエージェントシステムとして一般で活用されています。PC側で直接操作して情報をアップロードしたりするのではなく、管理対象のPCにインストールされたエージェントが管理者側からのコントロールを受け入れて情報を転送したり、リモートからの操作を受け付けるということができるようになりました。Windowsのセキュリティパッチが自動で更新されたりする仕組みも同様です。こういった技術の進化を学ぶことも診断士として重要だと思いますので、今回の記事をきっかけに興味を持っていただけると幸いです。