企業がパスワードレス戦略を展開する際に避けなければならない5つの落とし穴

原題:Top five pitfalls companies should avoid when rolling out a passwordless strategy
原作者:Jeff Olives 2021年6月28日

昨今、パスワード認証の脆弱性に起因する情報漏洩事件が数多く報じられている中で、多くの企業が安全性の高いパスワードレス認証への将来的な移行を模索しています。セキュアなパスワードレス・ログインは、ユーザーログインを簡素化して組織にコスト効率をもたらすだけでなく、ポスト・コロナ時代において継続されると言われる、数百万人規模のリモートワーク環境に必要なセキュリティを提供します。YubiKeyをお引き合い頂きましたお客様の体験として、パスワードレス化は目的地であるよりも、むしろ旅路であると感じられています。

パスワードレス認証への移行計画が完了し、実装段階に差し掛かっている企業もあると思いますが、その長い道のりを快適にするためには、途上にある深い穴に落ちないようにしたいものです。お客様によってパスワードレス化への道のりは異なります。またその方式も、スマートカードを使ったパスワードレス方式やFIDO2/WebAuthnを使ったパスワードレス方式、あるいは両方の方式を組み合わせたハイブリッド方式など、ビジネスニーズに応じた実装方式は多々あると思います。しかしどのような方法にも共通した落とし穴はあり、それに気をつければ問題を避けることができます。

パスワードレス戦略のロードマップで認識すべき落とし穴

・最初からすべてを見通すことはできない

 一般的にセキュリティ製品の導入では、製品選定、導入計画の立案、実装、問題対策、という一連のプロジェクト慣習があると思います。しかしパスワードレス認証の実装は、複数の製品やサービスを、異なる時期に、異なるレベルのユーザーへ適用していくことになるため、必ずしも道のりは単純で短いものではありません。曲がり角の先に、それまで見えていなかった道が見えてくることがあるように、最初からすべてを見通して計画を立案し、実装していくことは難しいと思います。そういった見えない道筋への対応は念頭におきつつも、まずは重要なユースケースとユーザーへの適用から始め、パスワードレスの導入に着手してゆけばよいと思います。

・プロジェクトのサイロ化を防ぐこと

パスワードレス化は単なるITの導入ではありません。企業文化や業務プロセスを大きく変えることになるため、プロジェクトのサイロ化を避け、あらゆる部署や業務に適用することを考える必要があります。計画の前提視野が狭かったり、特定部門の状況だけを前提にしていたりすると、その他ユーザー、人事部門、重役の方々に適用範囲を拡大した際に失敗する可能性が高くなります。関連する組織や人員の意見を取り入れて全体的なアプローチを行うことが重要で、後々にはプロジェクトの適用範囲を最大限に高め、組織全体のセキュリティ対策を強化することに繋がります。

・検証を除外や後回しにしないこと

プロジェクトの進捗によっては、時に急を要する問題に対応しなければならない場合があります。しかし、プロジェクトの概念実証(PoC)や試行検証を省略することはお勧めできません。というのも、これらの段階は、プロジェクトの方向性を示す上で非常に役立つからです。1回の試行検証でも良いですし、もしくは異なるユーザーグループを対象とした複数の試行検証を行って、すべてのユーザーに広く展開する前にしっかり備えたいという方もいるかもしれません。一般的には、パイロット版を立ち上げる前の概念実証の段階で、以下のようないくつかのステップを踏むことができます。

-プロジェクトの最初期に、予定しているパスワードレス認証の実装が、必要なシステムで、必要な場面で、かつユーザーの期待通りに機能するかどうかを検証する

-メインユーザー/部門が使用している既存システムと、新たに導入されるパスワードレス認証システムとの接続性 を実証するための検証環境を構築する。

-システム全体が計画の達成基準を満たすことができるかどうかを検証する

・ユーザーとのコミュニケーションを綿密に行うこと

技術チームがプロジェクトを主導している場合、ユーザーとのコミュニケーションやトレーニングが見落とされがちです。コミュニケーションチームやトレーニングチームは、新しいソリューションやプロセスへの期待感や理解を深めるライブイベントやバーチャルイベントを企画することで、その手助けをすることができます。

・自分たちだけでやろうとしないこと

「速く、安く、良いものを」理想論でよくあるフレーズだと思います。プロジェクトをその理想に近づけるためには、適切なプロフェッショナルサービスを利用することも手段のひとつになります。

プロジェクトの完遂期限が差し迫っているような状況であればなおさら、外部が持つ専門知識を活用することで、プロジェクトを加速させ、パスワードレス化を迅速に行うことができます。Yubicoがパスワードレス戦略をどのように計画・実行するかについては、Bridge to Passwordlessシリーズを参照ください。

原文リンク:https://www.yubico.com/blog/top-five-pitfalls-companies-should-avoid-when-rolling-out-a-passwordless-strategy/

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!