ディーモ deeemo

2024.07.25

より安全なアプリを 〜パスキーの実装〜

ALL

今日も日本の(世界の)どこかでシステムが攻撃され、
利用不能になったり、情報漏洩が発生したりしています。

極論からするとインターネットにつながっている以上、
セキュリティリスクを全くゼロにすることは出来ませんが、
当然ながらできる限りの対策はしたいものですね。

システムに対する攻撃で一番容易、かつ多いものといえば、
やはりパスワードを狙った攻撃かと思います。

「パスワード」という仕組みの歴史は古く、
古いものだと御伽話の「アリババと40人の盗賊」に登場する「開けゴマ(Open sesame)」
が有名ですね。
古い仕組みは時間の分、洗練されればいいのですが、
残念ながらそういうケースは少なく、古い仕組みの多くは脆弱性を抱えたまま今に至ります。

パスワードという仕組みもその例に漏れず、
少なくないリスクを抱えながらなんとか運用されていますね。

パスワードは特定の文字列(ワード)を”知っている”という知識情報を利用しています。
裏を返せば、そのワードを知っていれば誰でもログインできてしまいます。
そしてそのワードは、長く複雑なほどセキュリティは高まりますが、
そうすると反比例して利便性は低くなっていきます。

PCのパワーが上がればパスワード解析にかかる時間もどんどん少なくなり、
攻撃のコストも下がっていきます。
いわゆるパスワードという仕組みの限界というやつですね。

そんな中、社労士向けアプリ「DEMO for 社労士」はパスワードに変わるセキュアな仕組み、
「パスキー」の実装を予定しています。

パスキーとは、パスワードを使わずにデバイスの生体認証とアクセス先の情報をセットで捉え、
通信上にセキュリティにかかる情報を流さない、セキュアで利便性の高い仕組みです。
情報の種類としては、登録に使ったデバイスを所有しているという”所有情報”を利用しているので、
パスワードのように第3者がログイン情報を解析することもできないですし、
フィッシングサイトなどで本人が偽サイトと気づかずにログインしようとしても、
アクセス先情報の違いからログインが許可されません。
そういった意味では現時点では最もセキュリティの高い認証の一つです。

MicrosoftやGoogle、Appleなどのプラットフォーマーはすでに実装をしていますが、
まだまだアプリ単位での実装は多くはありません。

そんな中、DEMOはセキュリティをアプリ利用の上で最も重要な要素の一つだと捉え、
実装を予定しています。

普段よく使うアプリだからこそ、安全に、そして便利に。
DEMOはセキュリティに対し真剣に取り組んでいます。