パスワードレスのMac認証で開く未来

情報セキュリティの専門家なら誰でも、目にしただけで思わずため息をついてしまうようなリストがあります。そう、「もっともよく使われるパスワードのトップ10」リストです。大切なユーザが、「password123」、「qwerty」、「1234567890」、「p@ssword1!」などといったパスワードでデバイスやデータを保護していることを考えるだけで、背筋が凍るような気持ちになるIT管理者も多いはずです。幸いなことに、ほとんどのITチームはこのような事態を防ぐための対策として、はるかに複雑なパスワードをユーザに要求しています。しかし、それでもまだ十分でない可能性があることを、最近のデータが示しています。

今日、組織を悩ますセキュリティの問題のひとつがログイン認証の盗難です。これを聞いて驚く人はあまりいないかもしれませんが、データ流出の80％がパスワード盗難や脆弱なパスワードが原因で発生しているという事実についてはどうでしょうか？

その原因となっているのが、主に1単語からなるパスワードや個人情報を含むパスワードです。どれだけ強力なパスワードの使用が要求されていても、サーバへの侵入やフィッシング詐欺、総当たり攻撃によりパスワードが流出し、その結果として企業や従業員の情報が漏洩する可能性は十分にあります。また、パスワードポリシーの適用は完璧な解決策ではありません。パスワードが複雑になると、数字や特殊文字が混ざった文字列を覚えられずに紙に書き留めるユーザが増え、逆に問題が生まれてしまいます。

リモートまたはハイブリッドワークの増加に伴い、組織を攻撃から守り重要なデータを保護するためのセキュリティニーズが高まったことで、企業のセキュリティ予算も増加傾向にあります。それにもかかわらず、パスワードの流出は増加の一途をたどっており、それを防ぐための予算が問題の大きさと比例していないのが現状です。実際、セキュリティ侵害の実に80％以上が認証情報の漏洩に起因しているのにも関わらず、この問題に割り当てられるのは予算のたった10％以下となっています。

IT管理者やセキュリティチームは、リモートまたはハイブリッドワークをする人々の安全を守りながら、シームレスなユーザエクスペリエンスを提供するという大きな課題に直面しています。複雑なパスワードを定期的に変更することをユーザに要求しながら、その煩雑さを緩和する方法を見つけるのは容易なことではありません。そこで登場するのが、最新の認証方法として知られるパスワードレスのワークフローです。

パスワードレス認証

Gartner社は、2022年までに大型企業とグローバル企業の60％および中堅企業の90％が、50％以上のユースケースにパスワードレス方式を導入すると予測しています。

多要素認証（MFA）の一種であるパスワードレス認証は、指紋、顔認証、暗証番号、暗号鍵など、デバイス上で暗号化され安全性が確認された2種類の認証方法をパスワードの代わりに使用するものです。その中でも特に、Face IDやTouch IDはAppleユーザに馴染みの深い生体認証方法です。このような方法は、ユーザにとって使い勝手が良く、いずれも偽造や複製が極めて困難なため、セキュリティリスクを軽減することができます。

暗証番号とパスワードを似たものとして捉える人もいますが、暗証番号は特定のデバイスに紐付いたローカルなものであり、攻撃者が何らかの形でそれを知るかデバイスに物理的にアクセスしない限りは侵害の可能性は高くありません。しかも、暗証番号を何度も間違えればデバイスはロックされます。その一方で、パスワードと同様に、ユーザが暗証番号を自ら作成し定期的に変更することを怠った場合、デバイスや暗号化されたファイルへのアクセスを許してしまうことになりかねません。

パスワードレスのワークフローやこれらの認証方法は、特別に新しいものではありません。しかし、Appleに特化したパスワードレスのワークフローは、これまであまり注目されてきませんでした。理論上は、Face IDやTouch IDなどを第2の認証方法として信頼できるデバイスで使用することで、パスワードを入力せずにMacのロックを解除するといったことも可能です。

Jamf Unlock

Jamf Connectのワークフローの一部であるJamf Unlockは、デバイスに証明書を発行し、クラウドIDを利用したデバイスへのアクセスを実現します。これにより、ユーザはiPhoneまたはiPad上でFace ID、Touch ID、または定期的に変更される暗証番号を使ってMacのロックを解除し、生産的に働くために必要なリソースに簡単にアクセスすることができます。

Jamf Unlockのセットアップ中、ユーザはクラウドIDプロバイダの認証を得るために、iOSデバイスのSecure Enclaveに自分用の証明書を生成します。このプロセスによって生成されたそのデバイス専用の証明書は、そのままローカルに保存され、エキスポートはできません。この公開鍵はユーザのMacと共有され紐付けられるため、ユーザがアカウントにアクセスを試みるたびに、モバイルデバイスを使った認証プロセスが要求されます。

これにより、このサインインリクエストが信頼できるデバイスからのものであることをMacに通知し、サインインをユーザに許可したのち、Jamf Connect経由でコンピュータ上のアプリやリソースにサインインなしでアクセスできるようになります。つまり、いつも手元にあるデバイスを使って、パスワードを一切必要とせずに生産性を維持するためのリソースへの安全なアクセスが実現するのです。

Jamf Unlock、そしてJamf ConnectはユーザのクラウドIDプロバイダと連携しているため、リモートワークの管理やセキュアな運用が簡単に行えます。シングルサインオン（SSO）の利点と同様に、これはユーザの視点からも、パスワード疲れ・忘れを防ぐという利点があり、IT部門へのパスワードリセットの問い合わせも減らすことが可能です。また、新たなハードウェアへの投資や導入をせずに、パスワード漏洩のリスクを軽減する多要素認証（MFA）の目標を達成することができます。多くのユーザが常に携帯しているiPhoneやiPad活用するだけで、シームレスでパスワードレスなワークフローが実現するのです。

Jamf Unlockには以下のようなメリットがあります。

• ジャストインタイムのアカウントプロビジョニング、アイデンティティ管理機能、MacやリソースにアクセスするためのシングルクラウドIDなど、MacでJamf Connectを使用する際と同じメリットがすべて得られます。
• パスワードは、もはやリソースやアカウントにアクセスするための安全な手段とは言えません。パスワードの必要性を排除したJamf Unlockなら、クラウドIDに紐付けられMFAを活用した、パスワードレスのワークフローによるMacへのアクセスが実現します。
• Jamf Unlockは、スマートカードとしても機能するため、余分なハードウェアにコストをかけたり管理の手間を増やしたりせずに、セキュリティを強化することができます。また、パスワードがいらないため、パスワードリセットに関するIT部門への問い合わせが減ります。
• いつも持ち歩いているモバイルデバイスを活用して、ネットワーク接続の有無にかかわらずMacを安全に解除できるため、パスワードを忘れたり、1日に何度もログインしたりといったストレスから従業員を解放することができます。

セキュリティの強化、より良いエンドユーザエクスペリエンス、IT部門への問い合わせの削減。これらすべてが、すでにIDプロバイダと紐付けられているJamf Copnnectアカウントで叶います。Jamf Unlockを活用してパスワードの欠点だけを排除し、「良いとこ取り」をしてみませんか？

よくある質問

• パスワードレス認証とは？
  多要素認証（MFA）の一種であるパスワードレス認証は、指紋、顔認証、暗証番号、暗号鍵など、デバイス上で暗号化され安全性が確認された2種類の認証方法をパスワードの代わりに使用するものです。認証情報がデバイスの外に出ることがないため、フィッシングのリスクが排除されます。これは、従来のパスワードに代わる新たな認証手段としてFIDO（Fast ID Online）アライアンスのメンバーによって開発されました。*Gartner社は、2022年までに大型企業とグローバル企業の60％および中堅企業の90％が、50％以上のユースケースにパスワードレス方式を導入すると予測しています。
• Jamf Unlockを使用するにはJamf Connectが必要ですか？
  Jamf Unlockを使用するためには、ユーザのMacにJamf Connectが搭載されている必要があります。ただし、Jamf Unlockを使用するためにMacとiPhoneに同じMDMが導入されている必要はありません。まずは、Jamf ConnectがすでにMac上でセットアップされており、ユーザがすでにIDプロバイダの認証情報でサインイン済みであることを確認します。するとMacとiOSデバイスが同じIDプロバイダの認証情報を持っていることが認識され、ペアリングが行われます。
• Jamf Unlockを使用する場合、Jamf Connectとは別に料金が発生しますか？
  Jamf UnlockはAppleのApp Storeから入手できるアプリです。追加料金は発生しません。
• Jamf UnlockはBusiness Planに含まれていますか？
  含まれています。Business Planの詳細はこちらからご覧ください。
• Jamf Unlockを使用するには、iPhoneを管理下に置く必要がありますか？
  はい。iOSデバイスにアプリの構成をプッシュして動作を指示する必要があります。
• ユーザはどのようにJamf Unlockを手に入れるのですか？
  Jamf Unlockは、管理者がデバイスにプッシュするか、ユーザがSelf Service経由で入手します。