パスワードは時代遅れ?いま注目の「パスキー (Passkeys)」とは?

生体認証でスマホの画面ロックを解除する日本人女性

オンラインサービスの普及によって、私たちの生活はより便利になりました。その利便性と引き換えに、頭を悩ませるのがセキュリティの問題です。多くの人がオンラインサービスの利用に伴う「煩わしいパスワードの管理」や「定期的なパスワードの変更」に、ストレスを感じているのではないでしょうか。こうした課題に応える形で登場したのが「パスキー (Passkeys)」です。従来のパスワードの問題を解決する“新時代の認証方式”として、多くの注目を浴びています。そこで本記事では、パスキーの持つ革新的な概念や仕組み、メリットおよび利用上の注意点を、国内の活用事例とともに紹介します。

パスキー(Passkeys)とは

パスキー(Passkeys)とは、パスワードレス認証基準の普及を推進する非営利団体「FIDOアライアンス(※1)」が仕様を策定した、新しいパスワードレスの認証方法です。最大の特徴は、指紋や顔などの生体情報を使用することで、セキュリティを高めながらも使いやすさを兼ね備えているという点です。

文字や数字を入力する従来のパスワード認証と比較すると、パスキーは悪意のあるフィッシング攻撃に対して高い保護能力を誇ります。パスキーが一般的になると、さまざまなサービスやシステムで異なるパスワードを覚える必要がなくなり、私たちのデジタル生活がよりシンプルで安全なものになります。

パスキーの仕組み

パスキーは、高度な公開鍵暗号方式を採用しています。ユーザーはサービス利用開始時に、公開鍵と秘密鍵のペアを作成し、サービス提供者側に公開鍵を登録します。秘密鍵はデバイスの保護機能を適用してデバイスに保存します。

その後、Webサイトにサインインする際、サーバーからのリクエストに対して、手元にあるスマートフォンやパソコンを使い、顔・指紋などの生体情報で認証します。この認証を行う際、使用デバイスのロック解除機能(例:Windows Hello、FaceIDなど)を利用し、デバイス側でユーザー認証を行います。

ユーザー認証が成功すると、自身のデバイスに保存された秘密鍵を使用して、認証リクエストに署名を行い、サーバーに送り返します。サーバー側では、すでに登録済みの公開鍵を使用して、送られてきた署名の正当性の検証を行い、認証を完了させます。これにより、サインインが許可される仕組みです。

パスキー(Passkeys)の仕組み

サービス提供者にすべてのログイン情報を預ける必要はなく、サービス提供者側には公開鍵だけが保管されます。そのため、仮に公開鍵が漏洩しても、秘密鍵がないとログインは不可能です。また、各デバイスごとに異なる秘密鍵が生成されるため、何かしらの理由で秘密鍵が盗まれても、他のデバイスでの不正利用を防止できます。これらの特徴を持つパスキーは、現代のセキュリティニーズに応える革新的な仕組みといえるでしょう。

パスキーのメリット・デメリット

パスキーは従来のパスワードの問題を解消し、ユーザーに以下のようなメリットをもたらします。

忘れる心配がない

設定したパスワードを忘れてしまい、「ログインできなくなった」「サービスが使えなくなった」というトラブルを、誰もが一度は経験したことがあるでしょう。パスキーは生体情報を利用するため、忘れてしまう心配がありません。また、新しいデバイスに切り替えた際も同じ生体情報を利用するため、煩雑なセットアップや再設定からも解放されます。

高いセキュリティ性

従来の文字ベースのパスワードの場合、「簡単な文字列のパスワードを設定している」「同じパスワードを使い回している」人も多いのではないでしょうか。これでは、不正利用やフィッシング攻撃によって、パスワードを盗まれてしまう危険性が高くなります。一方でパスキーは、ユーザー独自の生体情報を基盤とするため、情報を盗むことが困難です。従来のパスワードよりも、堅牢な安全性を誇る点がメリットです。

このように、パスキーは「利便性」と「強固なセキュリティ」を高める画期的な技術ですが、課題も残っています。例えば、パスキーはまだ新しい技術であるため、対応しているWebサイトやアプリが限られ、すべての場面で使えるわけではありません。

また、パスキーは利用するデバイスと密接に関連しているため、対象のデバイスを紛失してしまった場合、サインインできなくなる恐れがあります。買い替えや紛失・故障時に備え、別の認証方法を追加したり、他のデバイスと同期しておくとよいでしょう(アカウントを超えたパスキーの同期はできないため、アカウントごとの設定が必要になります)。

パスキーとパスワードの違い

パスキーは従来から使われているパスワードと大きな違いがあります。それぞれの違いについて、「更新性」「攻撃耐性」「認証基盤」の観点から見ていきましょう。

更新性

従来のパスワードは「固定式」で、変更しない限り同じものを繰り返し使用します。一方で、パスキーはデバイスごとに一意に生成される「動的な特性」を持っています。

攻撃耐性

パスキーは動的に生成されるため、攻撃者が情報を掴んだとしても、その情報は次回の認証では役に立ちません。一方、パスワードは一度漏えいすると新たな情報に更新されるまでの間、不正利用のリスクが高くなります。

認証基盤

パスキーは認証に「ユーザーの生体情報」を利用します。生体情報とは、「指紋」「顔」「虹彩(眼球の色がついている部分)」など、一人ひとり異なる身体の特徴に関する情報です。従来のパスワードは、「特定の文字や数字の組み合わせ」に頼る形となります。

パスキー普及の背景

昨今、パスキーは急速に普及していますが、背景にあるのは「サイバー攻撃の増加」です。ランサムウェアをはじめとするサイバー攻撃が急増し、多くの企業に深刻な被害や影響を及ぼしています。実際、IPA(独立行政法人 情報処理推進機構)が発表した『情報セキュリティ10大脅威 2023』の第1位(組織部門)は、「ランサムウェアによる被害」となっています。

不正アクセスの多くは「VPN機器」や「リモートデスクトップ」を経由しており、これらの「システムの脆弱性」や「弱いパスワード」が攻撃の隙を生んでいます。巧妙かつ高度化するサイバー攻撃の脅威に対して、従来の文字ベースのパスワードでは限界が指摘されているのです。

また、パスキーはユーザーの生体情報を利用して認証を行うため、近年のスマートフォンの生体認証機能の拡充が、パスキーの普及を後押ししています。

さらに、AppleやGoogle、MicrosoftなどのIT業界大手もパスキーの採用を進めています。従来のパスワードの代替手段としてパスキーの導入が進んでおり、「デジタルセキュリティの標準」の地位を確立しつつあるといえるでしょう。

どこで使われる?パスキーの使い方&活用事例

パスキーを利用した認証方法は、さまざまなサービスで導入され始めています。パスキーがどのように使われているのか、国内の活用事例やGoogle/Appleの対応状況を見てみましょう。

パスキーの活用事例①:NTTドコモ

2023年4月、NTTドコモはより簡易で便利な認証方法として「パスキー認証」を導入しました。ユーザーにWeb認証とパスキーを組み合わせて提供することで、従来必要だった「dアカウント設定アプリ」のインストールや起動が不要になりました。

これまでのログインは、特定の設定アプリを起動し、複数の認証ステップを経てようやくログインできるという、煩雑なものでした。「パスキー認証」の導入後は、ボタンを一度タップするだけで、指紋認証を通じて瞬時に認証が完了します(※2)。

パスキーの活用事例②:メルカリ

従来より、メルカリは「電話番号認証」や「3Dセキュア2.0」などの安全な認証方法を取り入れていましたが、一部のユーザーからは「端末変更時の再登録が手間である」というフィードバックもありました。そこで、2023年4月、同社はパスキーによる新しい認証方法を採用しました。

パスキーはApple IDやGoogleアカウントに認証情報を保存するため、複数端末での使用や端末変更時も、再登録の必要がありません。また、指紋や顔といった生体情報はメルカリ側では保存されないため、ユーザーは安心して新しい認証方式を利用することができます(※3)。

Google/Appleのパスキー対応状況

Googleは2022年10月から、AndroidとChromeで「パスキー」のサポートを開始しました。「パスキーは再利用できず、サーバーの侵害によって漏洩することもないため、ユーザーはフィッシング攻撃から保護されます」としています(※4)。さらに、2023年5月にはパスキーを介したGoogleアカウントへのログイン機能を導入しています。従来のパスワードの代わりに、「顔認証」「指紋認証」「PIN」を用いた認証が可能です(※5)。

これにより、任意のデバイスで直感的にGoogleアカウントにサインインできるようになりました。また、通常のパスワード認証や二要素認証コードが不要となり、よりシンプルかつセキュアなサインイン体験を実現しています。

一方、AppleはiOS 16およびmacOS Venturaのリリースから「パスキー」をサポートしています(※6)。ユーザーはiCloudキーチェーンに直接パスキーを追加することが可能となり、iPhoneをはじめとするすべてのAppleデバイス上で、暗号化状態を保ったまま同期されます。この仕組みによって、パスキーを採用するサービスやアプリ、Webサイトでは、パスワードやSMSによる二段階認証、特定の認証アプリが不要になりました。

まとめ

従来のパスワード認証の手間とストレスを大きく軽減し、セキュリティ面で高い信頼性を持つパスキーは、デジタル社会の「新しい標準」として位置づけられています。私たちの日常生活や仕事の中で、すでに多くの人がこの先進的な認証の利便性を体験しています。今後、さらに多くのサービスやアプリがパスキーを採用する中で、その便利さと安全性を実感する機会が増えていくでしょう。

 

出典:

Contributeur DocuSign
筆者
DocuSign
公開