AppleやTikTokなど続々!パスワードに代わって普及するパスキーとは
新しいセキュアなパスワードの仕組みパスキー(Passkey)に対応するサービスが、2022年後半から徐々に増えています。今回は、改めてパスキーの基本と最新情報をチェックしつつ、どんな準備や対応をすべきかを考えてみましょう。
普及が始まったパスキーの特徴や仕組み、使い方は?
パスキーとは、FIDOアライアンスという非営利の業界組織によって開発された新しいパスワードレス認証技術です。従来のID/パスワード方式よりも安全で、しかもユーザーフレンドリーな設計なので、Webサイトやアプリの認証にさまざまなデバイスから使用できるのが特徴です。
パスキーのメリット
- セキュリティーの向上:フィッシング攻撃やブルートフォース攻撃に耐性があり、従来のパスワードよりも安全です。
- UXの向上:従来のパスワードよりも覚えやすくて、使いやすく、どのデバイスでもWebサイトやアプリを認証できます。
- 高い互換性:スマートフォンやタブレット、デスクトップ、ウェアラブルデバイスなど、さまざまなデバイスやプラットフォームに対応しています。
パスキーの仕組みと使い方
パスキーに対応したWebサイトやアプリにアクセスする時に、パスキーを作成します(移行が推奨されます)。ここで暗号化された「公開鍵」「秘密鍵」という強力なキーのペアが生成され、「公開鍵」は認証先のWebサイトやアプリに保存され、「秘密鍵」はユーザーのデバイスに保存されます。パスキーを使ってWebサイトやアプリにサインインすると、ユーザーのデバイスは「公開鍵」をWebサイトやアプリに送信し、「秘密鍵」と照合され、認証されたユーザーであることが確認されます。
一度Webサイトやアプリでパスキーが作成されると、次回以降は、別のデバイスでログインする時にも、パスキーでログイン可能です。
▼Googleが本気でパスワード廃止に動き出した | ギズモード・ジャパン
https://www.gizmodo.jp/2023/10/google_passkey.html
各種のサービスで続々と拡がるパスキーへの対応
2022年後半から普及が進んでいるパスキーですが、すでに大手のサービスプラットフォームが次々と対応しています。
GAFAM
キープレーヤーであるApple、Google、Microsoftの3社の推進によって、現時点ですでに主要なOSやサービスがパスキーに対応済みです。Amazonも、WebとiOSアプリがパスキーに対応しました(Androidは近日中)。後は、Metaの対応待ちです。
▼iPhoneでパスキーを使ってアプリやWebサイトにサインインする – Apple サポート (日本)
https://support.apple.com/ja-jp/guide/iphone/iphf538ea8d0/ios
▼パスワードの代わりにパスキーでログインする – Google アカウント ヘルプ
https://support.google.com/accounts/answer/13548313?hl=ja
▼Windows のパスキー – Microsoft サポート
https://support.microsoft.com/ja-jp/windows/windows-%E3%81%AE%E3%83%91%E3%82%B9%E3%82%AD%E3%83%BC-301c8944-5ea2-452b-9886-97e4d2ef4422
▼パスキーについて – Amazonカスタマーサービス
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=TPphmhSWBgcI9Ak87p
日本関連のサービス
NTTドコモでは、dアカウントがパスキー認証に対応しています。LINEヤフーは、前身のYahoo! JAPAN時代に対応していました。メルカリもFIDOアライアンスのメンバーです。また、ニンテンドーもすでにパスキーをサポートしているので、大人より先に子どもたちが使っているかもしれません。
プロフェッショナルサービス
ITエンジニアのプラットフォームGitHubや、クリエイティブツールとデジタルマーケティングサービスを展開するAdobeも、パスキーに対応済みです。
▼パスキーで安全にログインする – Adobe
https://helpx.adobe.com/jp/manage-account/using/secure-sign-in-with-passkey.html
パスワードマネージャー
1PasswordやBitwarden、Dashlaneなどのコンシュマー向けパスワードマネージャーも、パスキーに対応しています。登録済みの任意のサービスがパスキーに対応した時点で、自動的に通知してくれる便利な機能もあります。
これ以外にも、PayPalやTikTok、Uber、WhatsAppなどが続々とパスキーに対応済みです。
パスキーが多要素認証(2FA/2SA)より優れている点
普及が進んでいるとはいえ、パスキーに未対応のサービスやアプリも多くあるため、引き続き2要素認証(2FA)や2段階認証(2SA)を使う必要があります。ここで、両者を比較してみましょう。
パスキーと多要素認証(MFA)との違い
種別 | パスキー | 多要素認証 |
認証エビデンス | 1つ | 2つ |
利便性 | 高い | 低い |
フィッシング攻撃への耐性 | 高い | 低い |
デバイスとプラットフォームの関係 | 独立 | 依存 |
今後の普及 | 標準に | 徐々に減少 |
バイオメトリクス認証で便利に使えるパスキー
スマートウォッチやアクティビティートラッカーなどのウェアラブルデバイスは、パスキーの恩恵を受けると期待されています。画面が小さく、従来のパスワードベースの認証方法は、入力や認証が面倒です。また、小さいので身に付けて気軽に持ち運べる反面、落としたり置き忘れや盗難に遭いやすいリスクもあり、デバイスだけでなくログイン情報まで他者に渡ってしまうと、不正アクセスを受けやすくなります。
ウェアラブルデバイスには、顔認識カメラや指紋リーダーなどのセンサーが搭載されていることが多く、バイオメトリックス認証(生体認証)を使うのに理想的です。パスキーはこれらのセンサーとシームレスに統合されるため、ユーザーは簡単なタッチやボディーアクション、視線を送ったりするだけで、すばやく簡単に認証できます。
消費者、ビジネスユーザー、ソフトウェア開発者としてすべきこと
パスキーの導入や対応には、消費者、ビジネスユーザー、ソフトウェア開発者それぞれの立場でできること・すべきことがあります。
消費者
前述のように、コンシューマー向けサービスがすでに対応しているため、多くの人が仕事よりも先にプライベートでパスキーを使う機会があるでしょう。従来のアカウント/パスワードよりもセキュアで、UXも優れているパスキーを使うことを推奨します。ただし、オンラインで共有する情報に注意することは従来と変わりません。今までパスワードを使い回ししていたり、管理を放棄していた人は、この機会に意識もアップデートすることを強くお勧めします。
ビジネスユーザー
情報システム部門の管理の下、仕事で使う環境にパスキーが導入されれば、データをよりセキュアに、ストレスなく管理するのに役立ちます。顧客にもパスキーを使ってもらい、自社サービスを認証しやすくできるかもしれません。教育担当者としては、社員がすでにプライベートで使っていれば、学習コストは抑えられます。ただし、全員が機能やリスクを正しく理解しているとは限らないため、社内用の学習機会やルール設定が不可欠です。情報を正しく知ることで合理的かつ安全な判断ができれば、そのナレッジはプライベートにも活かせます。
ソフトウェア開発者
自社のWebサイトやアプリにパスキーのサポートを実装することを検討しましょう。ユーザーフレンドリーでストレスが少ないセキュアな仕組みを導入することで、企業の生命線ともいえるデータを漏洩から守るのに役立ちます。
パスキーと、ローコード・ノーコードのソフトウェア開発
パスキーは、API(アプリケーション間の連携インターフェイス)を経由して、ローコード・ノーコード開発プラットフォームの一部に簡単に組み込めます。より安全でUXも優れたパスキーを導入すれば、ソフトウェア開発で大きなアドバンテージとなり、新しく価値のあるソリューションやイノベーションを生み出す可能性となります。
セキュリティーとUXの強化
プログラムコードをほとんどまたは全く書く必要がないローコード・ノーコードツールに、従来よりも安全でユーザーフレンドリーな認証メカニズムであるパスキーを導入し、UXの強化に集中できます。
開発の効率化と統合
パスキーに対応したAPIを介して、予め構築されたコンポーネントや機能を簡単に使うことができ、開発プロセスが大幅に合理化されます。異なるプラットフォーム間でも互換性を保ちながら、スムーズに移植できます。
シチズンデベロッパーのエンパワーメント
ソフトウェア開発を民主化するローコード・ノーコードによって、開発経験がないシチズンデベロッパー(市民開発者)やエンジニアでも、最新のセキュリティーの恩恵を受けられます。
イノベーションと普及の加速
さまざまな背景を持つ個人がデジタルソリューションの作成に参加することで、より幅広いアプリケーションの開発・展開が可能になり、イノベーションと普及が加速します。
量子コンピューターでハックされると、パスキーも無意味になる!?
パスキーの普及が進む一方で気になるのが、超高速な計算を可能にする量子コンピューターの存在です。現在のコンピューター(古典コンピューター)で使われている今の暗号が瞬時に解析できてしまうと、新しい脅威になり得るのでは?
確かに、量子コンピューターを使って、素因数分解問題を解決するためのアルゴリズムを実行し、現在の暗号化方式を破壊すれば、攻撃者は簡単にパスワードを復元したり、暗号化されたファイルやメッセージにアクセスできます。しかし、量子コンピューターは、まだ本格的な商用利用が広く展開する前の段階にあり、複雑な暗号解読が実現するには、まだ数十年単位の時間が掛かると考えられています。そのため、当面その心配はなさそうです。
もちろん、どんなテクノロジーであっても、それがハックされることによって技術革新が続いてきた歴史があります。今年2023年、すでに1,000量子ビットを超える量子コンピューターが実現しました。量子コンピューター自体にも未知の領域や課題も多いため、今後も注目は必要です。詳しくはこちらの記事をご覧ください。
パスキーがより広く採用されるようになれば、メーカーやデバイスの種類を越えて、セキュアにログイン情報を共有できるでしょう。現時点で使っている・いないに関わらず、すでに身の回りのさまざまなプラットフォームに導入されているパスキーについて、いろいろな場所で基礎知識を学び、使えるところから使いながら、徐々に導入・対応していきましょう。