KDDIは2月27日、法人向けのリモートアクセスサービス「KDDI Flex Remote Access」について、接続時にパスワード入力が不要になる「パスワードレス認証」を追加することを発表した。これにより、不正アクセスや情報漏えいを防止するとともに、管理者および利用者がパスワードを管理する負担を軽減するとしている。
-
パスワードレス認証機能の概要図
近年のテレワークの増加に伴い、自宅などから会社のサーバにアクセスするリモート接続を狙ったサイバー攻撃や不正アクセスが増加している。VPN(Virtual Private Network:仮想専用線)接続を使用するリモートアクセスでは、VPN装置の脆弱性を悪用して認証情報を窃取する被害や、IDとパスワード認証を突破されなりすましにより不正アクセスされる被害が出ているという。
情報漏えいの原因の8割以上が簡易なパスワードの設定やパスワードの使いまわしによるとされる一方で、パスワードの変更頻度の高さなど運用に関する問題点も挙げられる。また、パスワード忘れに対するパスワードリセットなど、管理者の負担も課題だ。
KDDI Flex Remote Accessに追加したパスワードレス認証は、専用の端末は不要でモバイル端末に専用アプリケーションをインストールするだけで利用を開始できるという。VPN接続時にクライアントソフトへユーザーIDを入力後、モバイル端末の専用アプリケーションから認証可能。
ワンタップや生体認証などによりモバイル端末からも認証でき、PCでのパスワード入力によるユーザー負担を軽減する。この機能はFIDO2規格に準拠し、IDとパスワードをサーバ側で保持しないためなりすましや不正アクセスなどのリスクを回避できるとしている。利用料金は1IDあたり月額770円。
