パスキーとは？｜多くの企業が導入を進めるユーザ認証を最適化する仕組み｜ブログ

blogtop 写真左からNRIセキュアテクノロジーズ　赤星古川　FIDOアライアンス　土屋氏

2022年5月にApple、Google、Microsoftの3社が対応を発表したことで、注目が高まっている「パスキー（Passkeys）」。パスワードに依存しない認証方式であるため、サイトごとのパスワードを覚える必要がなく、フィッシングサイトなどの脅威にも強いことから、ユーザビリティとセキュリティを向上させることができます。

パスキーがなぜ注目されているのか、各社が導入を進めるうえでのポイントについて、FIDOアライアンスアジアパシフィックマーケット開発シニアマネジャーを務める土屋敦裕氏と、FIDOアライアンスにも参画しているNRIセキュアテクノロジーズ（以下、NRIセキュア）のデジタルクライム対策事業部シニアセキュリティコンサルタント古川英明、IDソリューション事業部グループマネージャー赤星拓未が語りました。

アクセスとユーザビリティを最適化するパスキーとは？

fig-3279 FIDOアライアンスアジアパシフィックマーケット開発シニアマネジャー土屋敦裕氏

―まずは皆様が関わられているFIDOアライアンスについて教えてください。

土屋氏：FIDOアライアンスは2012年に発足した国際的な非営利団体です。過度なパスワード依存を減らすための認証方式の開発や、技術的な仕様の策定、インド、中国、日本、韓国、ヨーロッパなど地域ごとのレギュレーションやニーズに合わせたローカライズ、促進に関する活動などを行っています。

古川：NRIセキュアもFIDOアライアンスに参画しており、最新情報の収集、FIDO認証やパスキーの活用に関する調査報告などを行っています。

土屋氏：日本では、通信キャリア、金融機関、セキュリティベンダー、SIerなど多岐にわたる業界から60社を超える企業がFIDOアライアンスに参画しています。ビジネス上は競合関係であるはずの企業同士が、「パスワードをなくす」という共通の目的に向かって取り組んでいる点は、非常にユニークな側面だと思います。そして、NRIセキュアはその中でも大きな貢献をいただいている企業の一つです。

―今回のテーマであるパスキーとは、どのようなものでしょうか？

古川：パスワードを入力して利用するサービスやアプリケーションは膨大にありますが、それらの多くのWebサイトではパスワードは複雑かつ使い回さないことが推奨されています。しかし大量のパスワードを人が管理して使い分けるのは不可能です。そこで注目されているのが、パスワードを使わないログイン方法であるFIDO認証資格情報「パスキー」です。パスキーでは、指紋や顔による生体認証、PINやパターンロックなどの入力だけでサービスやアプリケーションを利用できるため、ユーザーは大量のパスワードを覚える必要がありません。また、パスキーはそのパスキーを登録したドメインでしか使えないようになっており、フィッシング耐性もあります。

多くの企業がパスキー導入を進める理由

fig-3239 NRIセキュア　IDソリューション事業部グループマネージャー赤星拓未

―パスキーを導入するメリットはどんなことでしょうか？

赤星：サービス利用者はパスワード入力が不要になるので、ユーザビリティが向上します。また、セキュリティ面の向上も大きなポイントです。メールやSMSでワンタイムパスワード（OTP）を送るような二要素認証でも、ユーザーがフィッシングサイトの画面上でOTPを入力してしまい、二要素認証を突破されるリスクがありました。しかし、パスキーの場合、あらかじめパスキーを登録したドメインでしかそのパスキーは使えないので、誤ってフィッシングサイトへ認証情報を入力してしまう心配も不要です。

fig-01

土屋氏：サービスの提供企業側にとっても、その2点は非常に大きなメリットです。これまでは、サービスを“利用する側”と“提供する側”にとって共通の秘密であるパスワードを管理する必要がありました。しかし、FIDO認証では利用者-提供者間に認証器を置き、認証する端末とサービスを提供するサーバー間で公開鍵暗号方式を使って認証する仕組みを取り入れているため、互いにパスワードを管理する必要がありません。

赤星：さらにコストの観点でもパスキーに切り替えるメリットは大きいですよね。SMS認証はOTPをSMSで送信する都度費用が発生してコストが高額になりがちなので、パスキー導入によって大きなコストダウンが見込めるケースは少なくありません。

土屋氏：そうですね。また、生体認証などは日々仕組みが変わっていきますが、プラットフォーマーやスマートフォン自体がFIDO仕様に準拠していますから、サービス提供側は端末上の生体認証の仕組みが変わっても、新たに投資を行う必要がなく、最新の認証仕様を使用できるという点もポイントではないでしょうか。

―本当にさまざまな業界で導入が進んでいますよね。

fig-3046

土屋氏：2022年以降Apple、Google、Microsoftの3社がパスキー対応したのを皮切りに、Adobe、Amazon、PayPal、NTTドコモ、ヤフー、メルカリ、トヨタ自動車など、さまざまなグローバル企業が続々と導入を行っています。最近では、PlayStation®でもパスキーが導入されました。

古川：個人的には、ゲーム会社でパスキーが導入されたことは、非常に印象的でした。ゲームのアイテムを買うなどの行為は非常に攻撃者から狙われやすい部分ではあったので、こういった業界で早期に導入されたのは良いなと思いました。

土屋氏：老若男女が触れるゲームにおいてパスキーが導入されたのは、本当に大きな出来事でしたよね。それを機にさまざまな業界でパスキーを導入しようという機運が高まったように感じています。最近は一般コンシューマー向けのサービス企業のみならず、大学や企業でもパスキー導入が進んでいます。現代の若い世代は子どもの頃から生体認証を使っているのが当たり前の世代ですから、会社から支給されたデバイスにID/パスワードでログインしなければならないのを見て「まだパスワードを使っているのですか？」とネガティブに受け取られるシーンも出てくるかもしれません。

パスキーの始め方と気をつけたいポイント

fig-3200 NRIセキュア　デジタルクライム対策事業部シニアセキュリティコンサルタント古川英明

―これからパスキーを導入する企業はどのように始めればよいのでしょうか？

古川：

NRIセキュアでは、一般消費者向けサービスに特化した認証・アクセス管理ソリューション「Uni-ID Libra」と、多要素認証デバイス「YubiKey」という2つのサービスにおいて、パスキーをすぐにお使いいただけるようになっています。

「Uni-ID Libra」は、消費者向け（BtoC）Webサービスのアクセス管理に必要とされる認証、認可、ID管理、不正アクセス対策をオールインワンで提供するサービスです。パスキーにも対応していて、既にUni-ID Libraをご利用のお客様でパスキーを導入されているサービスもあります。「YubiKey」はUSBタイプのFIDO認証器です。認証器をハードウェアにされるケースで活用され、こちらもパスキーに対応しています。ただ、このようなソリューションは提供されていますが、企業が導入を行うにはまだまだハードルが高いようです。

赤星：私が担当したお客様も「パスキーを使いたいけれど、幅広い世代の利用者が理解できるか？」と、新しい技術に対して懸念されることが少なくありません。

土屋氏：まさにそこですよね。ITリテラシーが高い方はすぐ使いこなしますが、そうでない方は聞いたこともない言葉に対して、怖さを感じる方もいらっしゃいます。

赤星：そういった懸念を持つお客様の場合は、利用者の属性分布などに合わせて可能な方法を模索したり、まずはID管理に関する課題を解消してから段階的にパスキーを導入したり、あらゆるシチュエーションに対応できる準備をするようにしています。

―パスキー導入を決めた企業が気をつけるべきことはどんなことでしょうか？

赤星：いざ導入を進めようとする企業は、既にIDとパスワードを使ったログイン方式＋多要素認証を使っていて「追加でパスキーも入れたい」とご相談いただくケースが多いです。しかし、パスキーはログインに使うだけではなく、パスキー自体を登録・削除させるときの条件や、デバイスを変更紛失した時のリカバリ方法まで、全体のライフサイクルを含めて考えておく必要があります。例えば、ID・パスワードのみのログイン後にパスキーを解除できる仕組みにしてしまうと、悪意のある第三者によるパスキー解除のリスクが高まってしまいます。

土屋氏：ログインのUX（ユーザーエクスペリエンス）をどうするのかという問題もありますよね。

古川：

おっしゃる通りです。私自身もパスキーを導入したサービスを使ってみると、「この流れは使いやすいな」と感じるときがあります。UX的にどのように見せるかという点は、私たちセキュリティベンダーやSIerなど実装する側の経験やノウハウといった強みを活かせる点でもあります。

パスワードレスで安全・安心なIT社会の実現へ

fig-3299

―今後のパスキー浸透にあたり、みなさんが考えていることをお聞かせください。

赤星：パスワードレスが普及すれば、大きなパラダイムシフトになると思っています。NRIセキュアでは「安全・安心なIT社会を実現する」ということを使命に掲げていますが、パスキーで実現できる未来そのものでもあります。パスキーを使ってもらえれば、フィッシングによってお金をだまし取られたり、個人情報を不正利用されたりするケースが減っていくと考えています。

古川：

パスワードのいらない時代がもう既に来ているので、まずは一社でも多くの企業、一人でも多くの方に、一度パスキーを使ってみていただきたいです。

土屋氏：今後は、インターネットで買い物したり仕事したりする以上に、日常生活におけるデジタル化はどんどん広がっていくでしょう。そこではパスワードを入力することができないようなシーンもあるはずです。パスキーは、そんなデジタル社会の広がりを後押しできる技術です。NRIセキュアのみなさんには日本における活用事例を広げるという点で大きく貢献していただいていますが、今後も一緒に国内での導入・活用を進めていきたいと考えています。世界に影響を与えるようなパスキー導入事例が、きっと日本から広がっていくのではないでしょうか。

※本ウェブサイトで使用されている製品名、サービス名、ロゴや会社名の商標および著作物の所有権は、各所有者または許諾者に帰属します。

パスキーとは？｜多くの企業が導入を進めるユーザ認証を最適化する仕組み