パスキーとは
パスキーとは、生体認証を用いた新しい認証方式です。従来のパスワード認証方式では、パスワードが漏えいするとアカウント乗っ取りや、フィッシング攻撃などの被害につながるリスクがありました。また、パスワードを覚えるのが面倒なため使い回す人も多く、不正ログインのリスクが高まる原因となっていました。
これに対してパスキーは、パスワードが抱える課題の解決につながる、以下の特徴があります。
- 生体認証による不正ログインリスク低減
- 複雑なパスワードをすべて暗記しておく必要がない
パスキーは、指紋や顔など、ユーザー固有の生体情報を認証情報としてデバイスに登録する方法です。生体情報を盗むことは非常に困難なため、不正ログインのリスクを低減できます。
パスキーが導入される背景とは
パスキーが導入される背景としては、ランサムウェアをはじめとするサイバー攻撃が急増していることがあげられるでしょう。サイバー攻撃を受けると、企業や個人の重要な情報を盗み出し、金銭を要求されたりデータを流出される恐れがあります。サイバー攻撃の脅威が高まるなか、従来の文字ベースのパスワードは脆弱性が指摘されています。その理由は、パスワードの使い回しや容易に推測できる文字列を設定している人が多いためです。
不正ログインなどのサイバー攻撃の多くは、VPN機器やリモートデスクトップなどのシステムの脆弱性や、簡単に推測できるような弱いパスワードを狙って行われます。これらの脆弱性がサイバー攻撃の隙を生み、被害の増加につながっています。パスワードの脆弱性によるサイバー攻撃のリスクを下げる認証方式としてパスキーの導入が進んでいます。
パスキーの仕組み
パスキーでは、「FIDO2」と「WebAuthn」という2つの技術が活用されています。
FIDO2とは、パスワードレス環境の実現を推進する団体である「FIDOアライアンス」が2018年に発表した、生体認証に公開鍵暗号方式を用いるパスワードレス認証技術のことです。公開鍵暗号方式とは、公開鍵と秘密鍵の2つの鍵を用いて認証を行う方式です。公開鍵は誰でも利用できる一方、秘密鍵は利用者本人しか利用できません。FIDO2では、利用者がデバイスに指紋や顔などの秘密鍵を保存し、サービス提供者側に公開鍵を登録します。
ログイン時には、サービス提供者側が公開鍵を用いて利用者本人であることを確認し、利用者はデバイスに保存された秘密鍵を使って認証を行います。FIDO2を活用することでパスワードが必要なくなり、生体認証だけで認証が行えるため、セキュリティーと利便性の向上が期待できるでしょう。
WebAuthnとは、FIDO2認証をWebブラウザ経由で利用する仕組みのことで、WebサービスやアプリにFIDO2認証機能を組み込むためのAPI(Application Programming Interface)です。WebAuthnによって、WebサービスやアプリでもFIDO2認証を簡単に利用できるようになります。
パスキーのメリットとは
ここでは、パスキーのメリットを3つ紹介します。
高いセキュリティー対策を実現できる
パスキーは、不正ログインやハッキング、フィッシングなどの対策に役立ちます。たとえば、指紋認証は指紋のパターンが人それぞれ異なるため、パスワードのように推測したり盗み取ったりすることができず、不正ログインすることは困難でしょう。
また、パスキーはデバイスに秘密鍵を保存するローカル認証のため、万が一情報が漏えいした場合でも、別のデバイスからのログインはできません。ローカル認証とは、ユーザーの端末上に秘密鍵を保存し、その秘密鍵を使ってサーバから送信されたデータに署名して認証を行う方法のことです。物理的に紛失しない限りは脅威に晒される危険性は低いため、高いセキュリティー対策を実現できるといえるでしょう。
パスワードのように忘れる心配がない
パスワードを複雑にするとセキュリティー性は向上します。ただし、複雑であるがゆえに失念するリスクが高まります。その点、パスキーなら指紋認証や顔認証といった生体認証を用いるため、パスワードを覚える必要がありません。
パスワード入力の手間が省ける
パスワードは、Webサイトやアプリごとに異なるものを設定する必要があり、毎回入力するのが手間だと感じている人も多いでしょう。一方、パスキーはデバイスに保存した秘密鍵を入力するだけで、簡単にログインできます。たとえば、指紋認証を用いたパスキーの場合なら、指紋センサーに指でタッチするだけでログインが完了します。
パスキーの課題点
パスキーへの注目度は高まっていますが、これから普及を拡大するうえでいくつか課題点もあります。
パスキー対応のサービスが少ない
パスキー最大の課題は、対応サービスが少ない点です。パスキーによる認証方式が最新技術であるため、Webサイトやプラットフォームでの導入が進んでおらず、現場ではパスワードによる認証に頼らざるを得ません。今後パスキー対応サービスを増やすためには、「Webサイトとデバイスをどのように連携させるか」「Webサイトに登録した生体情報をどのように管理するか」といった問題の解決が急務です。
デバイスやOSに依存する
パスキーは、デバイスに秘密鍵を保存して認証を行うため、デバイスやOSに依存します。デバイスを紛失したり故障したりすると、秘密鍵を失うため新たなデバイスで再設定しなければなりません。
また、パスキーはOSごとに同期されるため、同じOSで動くデバイス間でのみ同期が可能となります。Googleアカウント、Apple ID、マイクロソフトIDのそれぞれに独立して保存されるため、例えばiOSデバイスとWindowsパソコンを使用している場合、個別の設定が必要となり、使い勝手が悪く感じてしまうでしょう。
パスキーの設定方法
ここでは、パスキーが実装されているデバイス・ブラウザでの設定方法を紹介します。
iPhoneでのパスキー設定と使用方法
iPhoneでパスキーを使用するには、iOS 16、iPadOS 16、macOS 13、またはtvOS 16以降が必要です(2024年2月現在)。また、iCloudキーチェーンと2ファクタ認証もオンになっている必要があります。
iCloudキーチェーンの設定
- 「設定」>「[自分の名前]」>「iCloud」>「パスワードとキーチェーン」を選択
- 「iCloudキーチェーン」をオンにし、画面に表示される指示に従う
Apple IDの2ファクタ認証の設定
- 「設定」>「[自分の名前]」>「サインインとセキュリティ」を選択
- 「2ファクタ設定をオンにする」をタップしてから、「続ける」をタップ
- 確認コードの受け取りに使用する電話番号を入力して「次へ」をタップ
- 送信された確認コードをiPhoneに入力
パスキーの作成と保存
パスキーの作成と保存の手順は、アプリやWebサイト、ブラウザによって異なりますが、通常は以下のような手順で行われます。
- パスキーに対応しているWebサイトやアプリにログインする
- アカウントのパスキーを保存するオプションが表示されたら、「続ける」をタップ
作成したパスキーは、iPhoneの「設定」>「パスワード」に保存されます。同じアプリやWebサイトにパスキーとパスワードを保存することができ、どちらも「設定」>「パスワード」の同じアカウントで確認できます。
参考:iPhoneでパスキーを使ってアプリやWebサイトにサインインする|iPhoneユーザガイド
Googleアカウント(Android)でのパスキー設定と使用方法
Android端末などの場合は、Googleアカウントのパスキー設定を行うことでパスキーを使用できます。Windows 10以降のOSやAndroid 9.0以降を搭載し、生体認証機能(指紋認証や顔認証)を備えたデバイスである必要があります。(2024年2月現在)
パスキーの作成
- https://myaccount.google.com/signinoptions/passkeys に移動(Googleアカウントにログイン)
- [パスキーを作成する] > [続行] をタップ
※デバイスのロックを解除する必要があります
パスキーの設定
- パスキーに対応しているWebサイトやアプリにログインする
- パスキーを作成するか確認されるため、画面の指示に従い進める
- パスキーが保存される
参考:パスワードの代わりにパスキーでログインする|Googleアカウント ヘルプ
パスキー対応サービスの事例
ビジネスチャット「elgana」は、2023年11月30日に行われたアップデートにより、パスキー認証機能が実装されました。現在は、Webアプリ(ブラウザ版)のログイン方法をパスキー認証に変更可能です。
パスキー認証にすることで、認証用端末の「所有要素」および「生体要素」の多要素認証が実現できます。また、複雑なパスワードの管理・入力から解放されることにより、利便性が向上するでしょう。パスキー認証は、管理者によりワークスペース単位で有効・無効の選択が可能です。現状、パスキー登録できる端末は1ユーザーにつき1台のみです。今後のアップデートで、複数端末登録に対応予定です。
まとめ
パスキーは、生体認証を用いた新しい認証方式で、パスワードが抱えていた脆弱性の課題を解決できるとして注目されています。パスキーで登録する生体情報を盗むのは非常に困難なため、不正ログインやフィッシング攻撃などのリスクを低減できます。
ただし、パスキーに対応しているWebサイトやプラットフォームは多くありません。また、デバイスやOSに依存するといった課題もあります。今後、これらの課題を解決していくことで、パスキーのさらなる拡大が実現されるでしょう。
ビジネスチャット「elgana」は、パスキー認証に対応したコミュニケーションツールです。会社の利用するコミュニケーションツールは、パスワード流失による情報漏えいやサイバー攻撃などのリスクに晒されています。しかし、「elgana」であれば、高いセキュリティー対策を実現できます。実際の登録・利用方法は、ヘルプデスクにてサポートさせていただきますので、お気軽にご相談ください。
※「Google」および「Android」は、Google LLCの登録商標です。
※「マイクロソフト」および「Windows」は、米国およびその他の国における米国Microsoft Corporationの登録商標です。
※「iPhone」の商標は日本国内においてアイホン株式会社のライセンスに基づき使用されています。
※「iOS」は、米国およびその他の国におけるCisco Systems, Inc. の商標または登録商標であり、ライセンスに基づき使用されます。
※「Apple」「iPadOS」「macOS」および「tvOS」は米国およびその他の国におけるApple Inc.の登録商標です。
※「iCloud」は、米国およびその他の国におけるApple Inc.のサービスマークです。