パスキーとは?Apple、Google、マイクロソフトが採用する新たな認証の仕組みを解説
パスキー(Passkey)とは、パスワードの代わりになる新たな認証の仕組みです。パスキーでは生体認証などを用いて認証を行うため、ユーザは複雑なパスワードを覚える必要がなく、よりセキュアにサービスを利用できると期待されています。本記事ではパスキーの意味や従来のパスワード認証との違いについて解説します。
公開日:2024年5月20日
更新日:2024年6月10日
パスキーとは?
「パスキー(Passkey)」とは、パスワードの代替として設計された新しい認証の仕組みです。パスキーでは、パスワードを使ってログインする代わりに、スマートフォンによるユーザの生体認証などを用いてログインできます。パスキーの仕組みでは固定のパスワードが存在しないため、パスワードによる認証が抱えていたフィッシング攻撃やパスワードリスト攻撃(別名:アカウントリスト攻撃、以降アカウントリスト攻撃で統一)などによるパスワード漏洩のリスクを大きく軽減できます。
2022年、Apple、Google、マイクロソフトがパスキーの利用拡大に合意し、それぞれのサービスで取り入れられ始めました。そこから短期間でテクノロジー企業を中心に導入が進んでいます。日本でも、LINEヤフー、メルカリ、NTTドコモ、任天堂などがパスキーの導入を始めています
ユーザにとってパスキーのメリットは主に2点あります。1つ目はセキュリティの向上です。フィッシング攻撃やアカウントリスト攻撃など、従来のパスワードベースの認証システムに関連するセキュリティリスクを大幅に減少できます。
2つ目はパスワードの管理が不要になるという点です。数多くのインターネットサービスを利用するユーザにとって、それぞれのサービスで異なるパスワードを覚えたり、管理したりすることは大きな負担になっていました。パスキーを使用すると、ユーザは複雑なパスワードを覚える必要がなく、またパスワードを変更する手間も省けます。さらにログインプロセスが簡略化され、デバイスが認証を自動的に行うため、ユーザはより迅速かつ容易にサービスにアクセスできるようになります。
パスワードはなぜ危険なのか?
パスキーの2つのメリットは、パスワードベースの認証システムが抱える根本的弱点の裏返しでもあります。トレンドマイクロの「パスワードの利用実態調査」では、Webサービスの利用者のうち、83.8%が複数のWebサービスでパスワードを使いまわしていることが分かっています。また、ID/パスワードを使いまわす理由を聞いたところ、「異なるパスワードを設定すると忘れてしまう」(72.8%)と回答する利用者が多いことが分かりました。
パスワードを使いまわしていると、他のサービスから流出したID/パスワードなどの認証情報を悪用して、複数のWebサービスで同じID/パスワードを使いまわしている利用者を標的に不正ログインを行う「アカウントリスト攻撃」を受けるリスクが大きく上がります。しかし、調査結果からわかるように、パスワードの管理が面倒であるため、大半のユーザはパスワードを使いまわしているのが現状です。
パスキーの仕組み
パスキーによる認証プロセスは「公開鍵暗号」技術を使用しています。以下のステップで認証が行われます。
⓪ペアキーの作成
パスキーの利用を申請すると関連するアプリケーションやサービスが「公開鍵」と「秘密鍵」を生成し、秘密鍵をデバイスに保存します。同時に公開鍵はサーバに送信されます。
①ログイン試行
ユーザがサービスにアクセスし、ログインを試みるところからプロセスは始まります。通常、ユーザ名やメールアドレスなどの識別情報を入力することが求められます。
②認証要求
ユーザがサービスにログインする際、サービス側のサーバはユーザのデバイスに対して認証要求を送信します。
③生体認証による本人確認
認証要求に応じてデバイスで生体認証やPIN(Personal Identification Number、一般的に都度表示される数字など)コードの入力を行います。これにより、デバイスの正当なユーザによる操作であることが確認されます。
④署名の生成
生体認証が成功した後、ユーザのデバイスは秘密鍵を使って署名を生成してサービス側のサーバに署名を送信します。
⑤署名の検証
サーバは受け取った署名を、対応するユーザの公開鍵を使用して検証します。検証が成功すると、サーバはユーザの身元が確認されたとみなし、ログインプロセスが成功となります。ユーザはサービスにアクセスする権限を得ます。
企業はパスキーの導入を検討すべきか?
規模に関わらず、ログインを伴うシステムを提供している企業や機関は、パスキーの導入を検討すべきだといえます。特に金融や公共など、セキュリティが重視される業界や、ヘルスケアなどユーザのプライバシーが重要な分野では、早期の導入が望まれます。
企業側にとって、パスキーの導入から得られる恩恵はセキュリティの強化だけではありません。ユーザビリティの向上やサポートコストの削減も重要な利点として挙げられます。ログインプロセスが迅速かつ簡単になることで、ユーザのログインプロセスにおける離脱やログイン関連の問い合わせの減少も期待できます。
実際に、FIDOアライアンスの調査結果では、KDDIがパスキーを導入したことによって、サポートセンターへの問い合わせ件数が30%近く減少したことを明らかにしています。
企業がパスキーの導入を検討する際には、既存のシステムとの互換性や必要なインフラのアップグレードだけではなく、ユーザへの周知と教育も必要になります。ユーザが新しい認証方法のメリットを完全に理解し活用できなければ、パスキーへの移行も思うように進まないことが想定されます。パスキーの導入を検討する際には、技術的な側面と並行して、ユーザへの利用促進のための戦略を考えていけるとよいでしょう。
具体的なパスキーの導入にあたっては、2024年5月にFIDO Allianceが公開したデザインガイドラインが参考になります。ユーザエクスペリエンス調査に基づいたガイドラインとなっており、パターン例やUIキットなども提供されています。
Security GO新着記事
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月4日)
サプライチェーン攻撃とは?~攻撃の起点別に手法と事例を解説~
(2024年12月3日)
フェイクニュースの影響について事例を交えて解説
(2024年12月2日)