あなたのMicrosoft アカウントにパスワードレスの未来を
※本発表は、米国時間9月15日に公開された“The passwordless future is here for your Microsoft account”の抄訳です。
あなたのMicrosoftアカウントにパスワードレスの未来を
Vasu Jakkal
Corporate Vice President, Security, Compliance and Identity
パスワードが好きな人など存在しません。不便なうえに、攻撃の主なターゲットとなります。にもかかわらず、パスワードはメールや金融サービス、ショッピング、そしてビデオゲームなど、デジタルライフ全体で主要なセキュリティレイヤとして浸透しています。
私たちは日々複雑で独自のパスワードを作成し、それを覚えて頻繁に変更するよう求められますが、これらを好んで対応する人はいませんよね。最近のマイクロソフトで行ったTwitter上の投票によると、5人に1人が、パスワードをリセットするくらいなら、誤って「全員に返信」をクリックして恥をかいた方が良いと回答しています。
しかし、私たちに一体どんな代替となる手段があるというのでしょうか。
私たちは、ここ数年の間、パスワードレスの未来( https://www.microsoft.com/security/blog/2020/12/17/a-breakthrough-year-for-passwordless-technology/ )が来ることをお伝えしてきました。そして本日、パスワードレスの未来に向けたビジョンの次のステップを発表します。2021年3月、私たちは世界中の法人組織に向けて、パスワードレスのサインインの機能の提供開始( https://techcommunity.microsoft.com/t5/azure-active-directory-identity/passwordless-authentication-is-now-generally-available/ba-p/1994700 )を発表しました。
本日より、Microsoftアカウントから完全にパスワードをなくすことが可能になります。Microsoft Authenticatorアプリ、Windows Hello、セキュリティキーもしくは、電話やemailで受け取った確認コードで、Microsoft Outlook、Microsoft OneDrive、Microsoft Family Safetyといったお気に入りのアプリケーションやサービスに、より便利に、そして安全にアクセスできるようになるのです。この機能は今後数週間をかけて展開していく予定です。
■パスワードの問題点
私の友人でマイクロソフトのCISO(最高情報セキュリティ責任者)であるブレット アーセナル(Bret Arsenault)は、「ハッカーは侵入するのではなく、ログインするのだよ」とよく言います。あまりにも核心を突いた言葉で、初めて聞いた時からずっと私の心に残っています。
大企業から一人一人のお客様に至るまで、脆弱なパスワードこそ大半の攻撃の入口となっています。事実、パスワード攻撃は毎秒579回もの頻度で発生しており、年間ではその件数が180億回にのぼります。
なぜパスワードはこんなに脆弱なのでしょう?ここには2つの理由があります。
■人間の本質そのもの
絶対覚えられそうにない自動生成のパスワード以外、私たちはだいたい自分でパスワードを作成しています。しかし、パスワードの脆弱性を考えると、パスワードの要件は、近年、複数の記号、数字、大文字と小文字の区別、以前のパスワードの禁止など、ますます複雑になっています。更新は定期的にかつ頻繁に求められますし、十分に安全で記憶に残るパスワードを作成し続けることは難しい課題です。私たちの生活の中で、すべてのアカウントを作成、記憶、管理をしなければならないパスワードは非常に不便なのです。
人間の本質そのもの
パスワードを忘れてしまうことも非常につらいですよね。私は、3分の1近くの人が、紛失したパスワードに対峙するのではなく、アカウントやサービスの利用そのものを完全にやめてしまうと言っていることを知り、ショックを受けました。
問題を解決し、私たちが覚えられるパスワードを作るために、私たちは、よく知られた単語や個人的なフレーズなど自分たちにとってより簡単な方法を取ろうとしてしまいます。最近の調査では、自身のペットの名前からパスワードを思いついたという人が15%であることがわかりました。他にも共通する回答として、家族の名前や誕生日のような重要な日付が含まれていました。また、10人に1人がサイト間でパスワードの再利用を認めており、40%がパスワードの数式を使用したと言っています。例えば、Fall2021というパスワードはWinter2021となり、最終的にはSpring2022へとなっていくでしょう。
■ハッカーの本質によるもの
残念ながら、そのようなパスワードは覚えやすいかもしれませんが、一方でハッカーが推測しやすいことにもつながります。誰かのソーシャルメディアをちらりと見ただけで、ハッカーは個人アカウントにログインするヒントを得ることができるのです。一度パスワードと電子メールの組み合わせが侵害されれば、ダークウェブなどで販売され、多くの場合、さらなる攻撃に使用されてしまいます。
また、ハッカーは数多くのツールやテクニックを持っています。ハッカーはパスワードスプレーを使用し、さまざまなパスワードの候補を素早く試してアカウントにアクセスします。フィッシングを利用して偽サイトに認証情報を入力させることもあるでしょう。こうした手口は比較的単純で、何十年も前から使われているものですが、パスワードは人間が作成したものであるかぎり、今でもこの手口が通用するのです。
■今日からたった数クリックでパスワードレスに
まず、Microsoft Authenticatorアプリ( https://support.microsoft.com/ja-jp/account-billing/%E3%82%A2%E3%83%97%E3%83%AA%E3%82%92%E3%83%80%E3%82%A6%E3%83%B3%E3%83%AD%E3%83%BC%E3%83%89%E3%81%97%E3%81%A6microsoft-authenticator%E3%81%99%E3%82%8B-351498fc-850a-45da-b7b6-27e523b8702a )をインストールし、個人用のMicrosoftアカウントに紐付けてください。
次に、自身のMicrosoftアカウント( https://account.microsoft.com/account/Account?ru=https%3A%2F%2Faccount.microsoft.com%2F&destrt=home-index )にアクセスし、「高度なセキュリティオプション」を選択します。「追加のセキュリティオプション」の中に、「パスワードレスアカウント」があります。これをオンにしてください。
Additional security
そして、画面の指示に従い、Authenticatorアプリからの通知を承認してください。承認がされたら、あなたはパスワードから解放されます。
Password removed
パスワードを使いたい場合は、いつでもアカウントにパスワードを追加することが可能です。でも、まずはパスワードレスを試してみてください - 1度使い始めたら、きっと戻れなくなるはずです。
■パスワードレスをより深く知る
マイクロソフトと共にパスワードレスへの道のりを歩んでいる企業のお客様からは、すばらしいフィードバックをいただいています。マイクロソフトも自らが実験台となっており、従業員のほぼ100%がパスワードレスを選択して企業アカウントにログインしています。
パスワードレスへの道のり( https://aka.ms/passwordremoval )については、コーポレートバイスプレジデント Identity 担当のJoy Chikのブログに詳細が書かれています。また、EdgeやMicrosoft 365アプリ( https://blogs.windows.com/windowsexperience/?p=176217 )をお使いの方への利点をより詳しく知りたい方は、Liat Ben-Zurのブログをご確認ください。Microsoft Active Directory( https://www.microsoft.com/en-us/security/business/identity-access-management )やMicrosoft Authenticatorといったマイクロソフトソリューションを活用し、組織内のユーザーが保護された状態にありながら、パスワードを忘れることが許される方法をより詳しく知りたい方は、2021年10月13日のデジタルイベント「Your Passwordless Future Starts Now( https://passwordlessfuturedigitalevent.eventcore.com/auth/login )」に是非ご参加ください。
Microsoft Authenticatorアプリを使ったパスワードレスを有効化する方法の詳細はこちらをご覧ください。
