インターナショナルシステムリサーチ(ISR)は5月21日、パスワードを使うことなくシングルサインオン(SSO)でのユーザー認証やアクセス制御の機能を提供するクラウドセキュリティーサービス「CloudGate UNO Premium」の提供を開始した。2021年までに50万ユーザーの利用を見込んでいる。
「CloudGate UNO」サービスによるパスワードレス認証のイメージ
新サービスは、Fast IDentity Online Alliance(FIDOアライアンス)が2018年に策定したパスワードレス認証を行うための「FIDO2」規格に準拠する。FIDO2対応のトークンデバイスや生体認証などを利用することで、ユーザーは文字列の固定パスワードを入力しないで済むようになる。利用料は、2つのセキュリティーキーを使用する場合で1ユーザー当たり月額1000円、セキュリティーキーを使わずユーザー自身のデバイスを利用する場合は同500円となる。
ISRは、2008年からSSOとアクセス制御のクラウドサービス「CloudGate UNO」を提供し、現在は1500社の約80万ユーザーが利用しているという。ユーザーがCloudGate UNOにログインすると、許可されている各種SaaSやオンプレミスなどの業務システムにSSOでアクセスできる。
インターナショナルシステムリサーチ 代表取締役 最高経営責任者のメンデス・ラウル氏
同社は、2014年にFIDOアライアンスに加盟し、2015年にはCloudGate UNOで、FIDOアライアンスの2段階認証「FIDO U2F」規格にも対応を図った。FIDO2にもいち早く準拠することで、「日本発、世界初となるパスワードレス認証のサービスを普及させていきたい」(ISR代表取締役 最高経営責任者のメンデス・ラウル氏)と表明している。
今回の取り組みにより、ユーザーはパスワードを入力することなく、CloudGate UNOを介してSAMLやOpenID Connectによる各種ウェブサービスへのSSOが可能になるほか、オンプレミスなどの業務システムも利用できる。CloudGate UNOへのログインは、PCに接続したFIDO2対応のUSBトークンなどを使用する。
ラウル氏は、ハッキングによる侵害事案の81%がパスワードに起因すると指摘。現在では、一人のユーザーが利用するウェブサービスは数十種類にも上るとされ、サービスごとに異なる強固なパスワードを設定することが理想とされるものの、現実的にはユーザーが全てを記憶しておくのは困難であり、結果的に第三者が容易に推測できるような文字列に設定してしまったり、同じパスワードを使い回したりしてしまう。
パスワードレス認証の仕組み
万一IDやパスワードが漏えいすれば、攻撃者の不正アクセスに悪用される恐れがある。また、パスワードを忘れたユーザーへの対応で企業の情報システム担当者に負担がかかるといった運用面での問題もある。ラウル氏は、こうした課題を解消していくためにもパスワードレス化への取り組みが重要だと提起している。
