MIXI、パスキー活用でログインの安全性を向上　社内端末の認証管理をクラウド化

　MIXIは、共通アカウント基盤「MIXI ID」および社内のエンタープライズ環境において、パスワードレス認証の普及を目指したセキュリティ強化策を実施した。社内環境の認証基盤として、ソフト技研が提供する「YubiOn Portal」を採用した。1月30日、ソフト技研が発表した。コンシューマー向けサービスと社内業務の両面でパスキーを活用することで、フィッシング攻撃への耐性を高めつつ、ユーザー体験の向上と運用管理の効率化を推進する。

　MIXIは、スマートフォン向けゲーム「モンスターストライク」を中心としたエンターテインメント事業のほか、スポーツやライフスタイルなど幅広い領域でサービスを展開している。同社が提供するMIXI IDは、複数サービスを横断的に利用できるアカウント基盤として利用者規模を拡大し続けている。

　従来、MIXI IDではメールによるワンタイムパスワード（OTP）方式を採用していたが、近年増加するリアルタイムフィッシング攻撃への対策が急務となっていた。また、ユーザーがメールアプリを開いてコードを確認・入力する手順が煩雑であるという課題も抱えていた。一方、社内環境においても、PC端末の共用運用やOS環境の変化に対応しつつ、セキュリティ強度と運用効率を両立させる仕組みが必要とされていた。

　これらの課題を解決するため、同社は2024年よりFIDO2準拠のパスキー認証を導入した。技術選定にあたっては、国際標準規格に基づくセキュリティへの信頼性に加え、生体認証による滑らかなユーザー体験、パスワードレスの利便性を高く評価したという。決済システムの管理ツールではパスキー認証を必須とし、パスワードに依存しない強固な運用体制を確立した。

　社内環境の整備にあたっては、ソフト技研のYubiOn PortalとYubico社のセキュリティキー「YubiKey」を活用した。これにより、WindowsとmacOSの両OSに対応し、クラウド上で一元管理可能な2要素認証環境を構築。従来の台帳による認証管理からクラウド管理へ移行したことで、最新かつ正確な認証状態を常に把握できるようになった。また、Windowsのリモートデスクトップ利用にも対応し、社内ユーザーの利便性も確保している。

　導入の効果として、MIXI ID利用者の25％以上がパスキーを登録するに至り、OTP方式で発生していた認証コードの遅延や入力ミスに関する問い合わせが減少した。副次的にサポートコストの軽減にもつながっている。社内環境の導入プロセスでは細やかなポリシー設定を要したが、柔軟な設定機能と豊富な手順書により、IT部門によるスムーズな運用開始が可能となった。

　今後は、パスキー認証をオプションから主要な認証方式へと進化させ、さらなるサービス領域での活用を視野に入れている。MIXIの伊東諒氏は、FIDO認証はフィッシング耐性と安全性を両立できる一方で、非対応環境でのアカウントリカバリーなどの課題もあると指摘した上で、「FIDO／パスキーは、優れたUXと強固なセキュリティを低コストで両立できる希少な技術だ。今後はより多彩なユースケースを支えるエコシステムの進化に期待している」としている。

ニュースリリース