2025年12月18日より、日本情報通信株式会社は
「NTTインテグレーション株式会社」に社名を変更いたしました。
Technical Blog テクニカルブログ
  1. HOME
  2. テクニカルブログ
  3. 【IBM Verifyで試すパスワードレス認証 第2弾】QRコード認証のメリットとログイン手順を徹底検証!
2026年5月8日
ソリューション・サービス紹介 セキュリティネットワーク

【IBM Verifyで試すパスワードレス認証 第2弾】QRコード認証のメリットとログイン手順を徹底検証!

# Security # Verify # パスワードレス

投稿者:セキュリティ&ネットワーク事業本部 セキュリティ担当 石井

はじめに

こんにちは。セキュリティ担当の石井です。

前回は、IBM Verifyを利用してパスキーを設定し、実際にログインできるかを検証しました。パスキーは、パスワードを使わずに生体認証やPINでログインできる仕組みとして、利便性とセキュリティを両立しやすい認証方式です。

そこで今回は、パスワードレス認証の検証第2弾として、IBM VerifyでCloud Directoryユーザーにモバイルアプリを連携し、WebアプリケーションへQRコード認証でログインできるかを試してみました。

第1弾はこちらのURLからご覧いただけます。

目次

  1. QRコード認証とは?
  2. 事前準備と検証の流れ
  3. IBM Verifyでのモバイルアプリ連携
  4. QRコードを用いたログイン確認
  5. 検証結果と利用時のポイント
  6. おわりに

1.QRコード認証とは?

まずパスワードレス認証にはパスキー以外にもさまざまな実現方法があります。その中でも今回取り上げるのが、IBM Verifyを活用したQRコード認証です。QRコード認証では、PC画面上に表示されたQRコードをモバイル端末のIBM Verifyアプリで読み取り、モバイル端末上で本人確認を行うことでログインを完了できます。PC側でパスワードを入力することなく認証を進められるため、利便性の向上に加え、フィッシング対策や端末ベースの認証強化といった効果も期待できます。

前回ご紹介したパスキー認証では、端末に保存された認証情報と生体認証やPINを組み合わせて本人確認を行いました。それに対して今回のQRコード認証では、PCで開始したログイン要求をモバイル端末側へ引き継ぎ、モバイル端末上で承認することで認証を完了します。

この方式が注目される理由は、大きく2つあります。

1つ目:セキュリティの向上

PC側にパスワードを入力しないため、認証情報の窃取リスクを抑えやすくなります。また、モバイル端末を利用した承認を前提とすることで、所持端末と本人確認を組み合わせた認証を実現しやすくなります。

2つ目:ユーザー体験の向上

ユーザーはPCで複雑な認証情報を入力する代わりに、モバイルアプリでQRコードを読み取り、必要に応じて承認するだけでログインできます。そのため、入力負荷を抑えつつ、比較的スムーズなログイン体験を提供できます。

このように、QRコード認証は、前回のパスキーと同じく、パスワードレス認証の有力な選択肢の一つといえます。特に、PCとモバイル端末を組み合わせた運用を行いやすい環境では、実用性の高い方式です。

本記事では、IBM VerifyでWebアプリケーションに対して、Cloud DirectoryユーザーとしてQRコードでの認証を行い、実際にWebアプリケーションへログインを行おうと思います。全体像は以下の通りです。

また今回の検証では、IBM Verifyの管理画面およびWebアプリケーションに関しては事前に用意したOIDCテスト用ログイン画面を利用しました。

2.事前準備と検証の流れ

まず、IBM Verifyの管理画面にアクセスし、QRコード認証を利用したいユーザーをCloud Directoryに作成します。Cloud Directoryは、IBM Verifyでユーザー情報を管理するためのディレクトリです。今回の検証では、このCloud Directoryに登録されたユーザーを用いてログインし、設定画面からモバイルアプリとの連携を行います。

今回の検証では、あらかじめ以下を用意しています。

・IBM Verifyテナント

・Cloud Directory上の検証用ユーザー

・IBM Verifyアプリをインストールするモバイル端末

・OIDC接続済みのテスト用Webアプリケーション

・QRコード表示に対応したログイン画面

今回の検証は、以下の流れで実施します。

・Cloud Directoryに対象ユーザーを作成

・対象ユーザーでIBM Verifyへログイン

・プロファイル設定画面からモバイルアプリを連携

・OIDCテスト画面からQRコード認証でログイン

3.IBM Verifyでのモバイルアプリ連携

まず、Cloud Directoryに登録した対象ユーザーでIBM Verifyへログインします。ログイン後、画面右上のアイコンをクリックし、「プロファイルおよび設定」を選択します。

この画面では、ユーザー自身が認証方法の追加や変更を行うことができます。 

「プロファイルおよび設定」を開いたら、セキュリティタブへ移動します。  

続いて、検証方式の項目にある「新しい方式の追加+」をクリックします。

認証方式の選択画面が表示されるため、ここで「IBM Verifyアプリ」を選択します。

「IBM Verify アプリ」を選択すると、登録用のウィザードが開始されます。  

画面の案内に従ってモバイルアプリを認証用の端末にダウンロードし、進めていきます。

画面の案内に従って進めると、モバイル端末とのアカウント連携に必要なQRコードが表示されます。このQRコードは、PC側のユーザーアカウントとモバイル端末上のIBM Verifyアプリを紐づけるために使用します。

続いて、認証用のモバイル端末でIBM Verifyアプリを起動します。
アプリ内右上のアカウント追加を押します。

QRコードの読み取り画面が立ち上がるので、PC画面に表示されたQRコードを読み取ります。

読み取り後、アプリ上にアカウント接続や登録内容の確認画面が表示されるため、内容を確認して連携を完了します。

正常に完了すると、アプリのアカウント一覧に対象アカウントが表示されます。

PC側でもウィザードを完了し、検証方式の一覧にモバイルアプリ連携済みの認証方式が追加されていることを確認します。

下記の表示が確認できれば、IBM Verify上でモバイルアプリ連携が正常に完了したと判断できます。

モバイルアプリの連携が正しく完了したら、実際にログインで利用できるか確認するため、一度サインアウトします。

4.QRコードを用いたログイン確認

今回は、事前に用意したOIDC接続済みのテスト用Webアプリケーションにアクセスし、QRコード認証を確認します。サイトにアクセスすると、画面上に「OIDCテスト」と表示されます。まず、OIDCテスト画面で「ログイン」をクリックします。すると、IBM Verifyのログイン画面へ遷移します。

IBM Verifyのログイン画面で、QRコード認証用のコードが表示されたら、モバイル端末でIBM Verifyアプリを開きます。続いて、アプリのQRコード読み取り機能を使って、画面上のQRコードを読み取ります。この操作により、PC上で開始したログイン要求がモバイル端末側へ引き継がれます。

承認が成功すると、PC側の画面が自動的に遷移し、OIDCテスト用Webアプリケーションへのログインが完了します。

今回の検証では、連携済みのモバイルアプリを用いて、問題なくログインできることを確認できました。

5.検証結果と利用時のポイント

今回の検証では、以下の点を確認できました。

・Cloud Directory上のユーザーに対してモバイルアプリ連携ができる

・ユーザー自身の「プロファイルおよび設定」から連携操作が可能

・OIDCテスト画面からQRコードを利用したログインが行える

・モバイル端末上での承認を経由してWebアプリケーションへログインできる

設定からログイン確認まで、一連の流れは比較的スムーズに実施できました。

前回のパスキー検証では、端末に保存された認証情報を使ってログインする流れを確認しましたが、今回のQRコード認証では、PCとモバイル端末を連携させて承認する方式で同様にスムーズな認証が可能であることを確認できました。

また、今回の検証を通して、QRコード認証を利用する際には以下のポイントを事前に確認しておくとスムーズだと感じました。

・モバイル端末にIBM Verifyアプリが導入されていること

QRコード認証では、モバイル端末側のアプリ連携が前提になります。そのため、対象ユーザーが事前にIBM Verifyアプリをインストールし、利用可能な状態にしておく必要があります。

・モバイルアプリ連携が事前に完了していること

ログイン時にQRコードを読み取るだけではなく、事前にユーザーアカウントとモバイルアプリが正しく紐づいている必要があります。連携が未完了の場合、ログイン時に認証を完了できません。

・端末側の本人確認機能が利用可能であること

モバイル端末で生体認証やPINによる確認が必要になる場合があります。そのため、端末のセキュリティ設定が有効になっていることを確認しておくと安心です。

・利用ブラウザや画面表示環境に問題がないこと

PC画面に表示されるQRコードを正常に読み取れることが前提になるため、ブラウザ表示や画面解像度、カメラの読み取り状態も影響する場合があります。検証時には、最新バージョンのブラウザを利用することをおすすめします。

・運用面では端末紛失時の対応も考慮すること

QRコード認証は利便性が高い一方で、認証の中心となるモバイル端末の管理も重要です。端末紛失時の失効手順、再登録手順、利用者サポートの流れなども、運用設計の中で整理しておくことが望まれます。

6.おわりに

今回は、パスワードレス認証検証の第2弾として、IBM Verifyを利用してモバイルアプリを連携し、OIDCテスト画面からQRコード認証で実際にログインできるかを確認しました。

改めて手順を整理すると、以下の流れです。

・Cloud Directoryにユーザーを用意する

・ユーザー自身の設定画面からIBM Verifyアプリを連携する

・ログイン画面で表示されたQRコードをモバイルアプリで読み取る

・モバイル端末上で本人確認を行い、ログイン成功を確認する

実際に試してみると、PC側で複雑な認証情報を入力することなく、モバイル端末での操作だけでスムーズにログインできるため、分かりやすく実用的な認証方式だと感じました。利用者にとってはログイン操作がシンプルになり、運用側にとってもパスワード管理や問い合わせ対応の負荷軽減につながる可能性があります。

前回ご紹介したパスキー認証と今回のQRコード認証は、いずれもIBM Verifyで実現できるパスワードレス認証の手段ですが、利用シーンや端末構成に応じて適した方式は異なります。自社のワークスタイル(リモートワーク、共有PCの有無、BYODの許可など)に合わせて最適な手段を選択・組み合わせることが重要です。 

なお、画面表示や設定項目名は、IBM Verifyのバージョンやテナント設定によって異なる場合があります。本記事では、検証環境で確認できた画面をもとに手順を記載しています。

またIBM Security Verifyを利用してWindowsリモートデスクトップやLinuxに多要素認証の導入をご紹介したブログも過去にございます。過去ブログはこちら

「IBM Security Verify」の詳細な機能については、弊社ウェブサイトをご覧ください。

Verifyに関するご相談はこちら

ご相談はこちらから

お客様の業務課題に応じ、さまざまなソリューションの中からベストな組合せで、
ご提案をさせていただきます。お困りのことがございましたらお気軽にお問い合わせください。

メールでのお問い合わせは
こちらから
ページのトップへ