2024年1月22日8:17
2008年より日本国内企業向けクラウド型アイデンティティ管理サービスを提供するインターナショナルシステムリサーチは、2023年12月7日に記者説明会を開催し、企業におけるパスキー導入が進めやすくなるように、2023年4月15日より、パスキー認証によるSSOと認証器(セキュリティキー)をセットにした新サービス「CloudGate MURO(クラウドゲート ムロ、仮称)」を提供すると発表した。「PaaS: Passkey as a Service」として、サブスクリプション型でのサービス提供を予定している。
インターナショナルシステムリサーチ 代表取締役社長 メンデス・ラウル氏
パスキーをめぐる米国の状況は?
新技術導入には時間を要する
2022年に登場したパスキー(Passkey)は、GoogleやApple、Microsoftが自社サービスにおけるサポート拡大を推し進めた結果、個人ユーザーの間に広まりつつある。当日は、インターナショナルシステムリサーチ 北米担当マーケティングリサーチャー 山田有花氏が米国でのパスキーの状況について紹介した。
インターナショナルシステムリサーチ 北米担当マーケティングリサーチャー 山田有花氏
米国・1Passwordが2,000人を対象に行ったパスワードに関する意識調査によると、「パスワードレス」という言葉を聞いたことがあるという人は回答者の25%にとどまった。また、パスワードレス認証と聞いた時に最初に思いつくのは「生体認証」と回答した人は34%となり、「実際の定義とは一致していませんでした」と山田氏は話す。パスワードレス認証は生体認証のみではなく、SMSやワンタイムパスワードなどさまざまな認証方法があり、その1つとしてパスキーがある。この結果からもパスワードレス認証への理解は不十分だとした。しかし、回答者の75%がパスキーの説明や具体的な例を提示されればパスキーの使用に前向きであることが分かった。つまり、パスキーの存在自体や、他のパスワードレス認証との違いを説明することで、消費者の理解が深まり、 積極的に受け入れる姿勢が形成される可能性があるとした。
開発者の間でパスキーがどのくらい支持されているかを知る材料として、パスワード管理サービスを提供するBitwardenが実施した、ソフトウェア開発で重要な役割を果たしている幅広い業界の開発者600人を対象にしたアンケート調査「Developer Survey 2024」が1つの参考となる。同調査によると、業務用アプリケーションへのアクセスにパスキーを使用している割合は68%であり、個人用アプリケーションに対しても60%がパスキーを利用している。専門的な知識を持つ開発者は、迅速に最新の認証技術への移行を推し進めているとした。特に、自社の従業員向けパスキー機能を積極的に開発していると回答した人は87%となった。また、将来的に組織内で導入を計画していると答えた人は89%となっている。
顧客向けパスキー機能についても83%が開発していると回答した。また、実装を計画していると答えた人は回答者の41%となっている。一方で、37%の開発者が未だ迷っている状況だが、その理由としてシステムの互換性を課題として挙げた人が回答者の25%、レガシーシステムの更新を課題に挙げた人も回答者の23%となった。この2つを足しただけでも48%となり、パスワードに依存するアプリケーションとの互換性の問題や、レガシーシステムに関する課題を抱えている。
まとめとして、企業は現在使用しているシステムからの移行を避ける傾向があるため、パスキーのような新技術導入に時間がかるがセキュリティと利便性の利点から最終的には移行が進むとした。また、アンケート結果通り、消費者は他サービスでのパスキー利用を経験し、導入を求めることが予想される。これにより今後需要が高まり、パスキー認証の普及が進む可能性があるとした。
「CloudGate UNO」のパスキー利用は1年で3.42倍
パスキーとCGAの利用者数がOTP超える
続いて、アイデンティティ管理プラットフォーム「CloudGate UNO(クラウドゲート ウノ)」ユーザーにおけるパスキー導入の状況について、セキュリティキーに関するビジネス責任者 有賀和也氏が紹介した。
インターナショナルシステムリサーチ セキュリティキーに関するビジネス責任者 有賀和也氏
2022年10月〜2023年9月までの12カ月間、パスキーを利用してCloudGate UNOの認証を行ったユーザーは、3.42倍となった。この間、AppleのiOSやMac OSでパスキー対応が完了した。また、Webメディアなどでパスキーに関する記事が掲載されるなど注目度が高まり、その影響でパスキーによる認証が増加したという。
CloudGate UNOの中でパスワードを利用しない認証方法として 「CloudGate Authenticator(CGA、クラウドゲートオーセンティフィケーター)」もあるが、同期間で2.09倍の利用増となっている。パスキーに比べて伸びは緩やかだが、9月時点で急上昇した。有賀氏は「CGAもパスキーのバックアップとして利用するユーザーが増加しているとみています」と話す。
さらに、同期間でのワンタイムパスワード(OTP)利用は1年間ほぼ変化がなく 1.1倍となり、横ばいの状況が続いている。これはOTPからパスキーへの移行などにより伸びていないと思われる。
上記3つのMFA(多要素認証)の利用状況をグラフにすると、右肩上がりで伸びており、ユーザーが受け入れているそうだ。その中でもパスキーおよびCGAの増加傾向がMFA利用を押し上げている。
CloudGate UNOユーザーにおけるパスワードレスとOTPの比較として、2023年9月にCloudGateで初めてパスキーとCGAの利用者数が OTP利用者数を上回った。依然としてOTPが最も利用ユーザー数は多いが、その差は縮まってきた。そのため、現在のペースが続くと、2024年2月までにパスキー利用のユーザー数がOTP利用ユーザー数を超えると同社では見ている。
セキュリティキーのサブスクリプションモデル提供
月額費用やターゲット、そのメリットとは?
続いて、代表取締役社長 メンデス・ラウル氏が新サービス「CloudGate MURO(仮称)」について紹介した。ISRでは、2019年5月19日にCloudGate UNOで「FIDO2」対応のパスワードレス認証の提供を開始。その時からCloudGate UNOは、FIDO2 セキュリティキーを含むハードウェアに基づいて運用を行ってきた。また、その経験を生かして、パスキー認証のハードウェア(PaaS:Security key as a Service) 提供を2024年4月から開始する。MUROの名称の意味はスペイン語で“壁”となり、顧客のデータを壁となって守るという意味が込められている。
パスワードより高いセキュリティのパスキーは、内蔵されているデバイスのアベイラビリティに依存している。例えば、PCやスマートフォンの生体センサーが利用できない時にどうするか。 そこではセキュリティキー(外付けタイプの認証器)が不可欠だとした。企業でのセキュリティキーコストの課題解決に向けて、1度の支払いではなく、24カ月の分割にする。また、投資ではなく運用として、在庫を資産償却しなくてもよいそうだ。さらに、セキュリティキーの管理が煩雑という課題に対しては、セキュリティキーのリプレイス・配送を素早く、そしてコストを抑えた形でサービスを提供する。
新サービスの構想として、パスワードを使わない、パスキー認証を提供する。CloudGate MURO(仮称)では、PCやスマートフォン上、セキュリティキー上にパスキーを生成する。さらに、CloudGate MURO(仮称)のソフトに加えハード(セキュリティキー)もサブスクリプション型で提供する。セキュリティキーは前述のように2年(24カ月)契約となり、仮に失くなった場合には宅配便で届くなど特別なサポートも付帯する。
CloudGate MUROは、パスキーと生体認証によって 実施されるIDおよびアクセス管理ソリューションだ。CloudGate MURO with Security Key(MUSK)は、最先端の認証技術と安全なハードウェアキーによって実現されるプラグアンドプレイのIDおよびアクセス管理ソリューションとなっている。価格については調整中だとしているが、700~800円を想定している。
具体的なターゲットとして、まずセキュリティを強化したい組織を挙げた。例えば、ランサムウェア攻撃から守りたい大手メーカー、CloudGate UNOの既存顧客でOTPなどのMFAからパスキーへ切り替えたい企業へ提案する。
また、パスワードと比べてパスキーの利便性を優先する組織に提供する。例えば、SSOの導入を検討するSMB(中堅・中小)企業、CloudGate UNOの既存顧客でパスキーに切り替えたい企業などとなる。
さらに、米国では大統領令により政府に提供するサービスに対してフィッシングに耐性のある多要素認証が必須となっており、この流れは日本にも影響を及ぼすとした。大量のセキュリティキーを購入するとなると一度に多くの予算がかかるが、サブスクリプション型であればコストを抑えることができ、数年先の予算まで見通しを立てることができる点がメリットであるとしている。
なお、パソコンが壊れた場合は外付きの認証機を利用する場合、指紋の情報も含めてキーの中に存在するので、他のパソコンに移行して使用できる。また、キー自体をなくした場合は、パスキーとCGAといったように複数の認証方法を用意することがバックアップになるとした。
The post ISR、”Passkeys as a Service” のパスワードレス認証「CloudGate MURO(仮称)」の強みとは? first appeared on ペイメントナビ.