普及が始まった「パスキー」のメリットと今後の課題とは？ | 東京エレクトロンデバイス

2023年9月に提供が開始されたWindows 11の大型アップデート「Windows 11 23H2」では、
パスワードに代わる認証情報である「Passkeys」（パスキー）への正式対応が発表されました。翌10月には、GoogleアカウントやGitHubもパスキー対応を発表するなど、パスキーの普及が加速しています。

コンピュータが登場して以来、ユーザーが本人であることを証明する主な手段として長年にわたり使われてきたのがIDとパスワードでした。それがいま、パスキーと呼ばれる新たな技術に置き換えられようとしています。なぜパスキーはパスワードに取って代わろうとしているのでしょうか。

パスワードにはこれまでいくつかの問題点が指摘されてきました。例えば安全なパスワードを設定しようとすると複雑な文字列が求められますが、安全性を高めようと複雑な文字列をパスワードにすると、人間がパスワードを覚えられなくなるという矛盾があります。そのため、結局は簡単で見破られやすいパスワードが使われてしまうことが往々にして発生します。

またパスワードが漏えいしたとしても、Webサイトやアプリケーションごとに異なるパスワードを設定しておけば、パスワードが漏えいしたサイトやサービスだけの被害で済むため、安全性のためにはWebサイトやアプリケーションごとに異なるパスワードを使うことが望ましいとされています。しかしここでも、何種類もあるWebサイトやアプリケーションごとに異なるパスワードを覚えるのは人間にはほぼ不可能ですので、結局はパスワードの使い回しが発生し、パスワードの漏えいで複数のサイトやサービスで被害が拡大することになります。

パスワードの漏えいについても、ユーザーが偽サイトに誘導されて偽サイト上でパスワードを盗まれるフィッシング詐欺に注意したとしても、本物のWebサイトのサーバーに脆弱性があって悪意を持つ者が侵入してマルウェアなどが仕込まれてしまえば、そこからパスワードが流出してしまうため、ユーザー側の注意だけではパスワードの漏えいを防ぎようがないといった課題もあります。

こうしたパスワードの課題を解決するために、パスワードに依存した認証ではなく公開鍵暗号などを
用いることで、Webの安全性や利便性をより高めようとするのがパスキーなのです。

パスキーはパスワードの代わりにスマートフォンやPCで、指紋認証や顔認証などの生体認証あるいは4桁から6桁程度のPINコードなどを用いて本人認証を行います。どの方法を用いるかは自由に選択可能です。

これにより、ユーザーはパスワードを覚える必要がなくなり、スマートフォンやPCでの生体認証やPIN入力など簡単な操作でWebサイトにログインできるようになります。ユーザーはパスワードを使うよりも高い利便性を得ることができるのです。

本人認証に使われた指紋認証や顔認証、PINコードなどの情報は、そのままWebサイトのサーバーに送られるわけではありません。これらの情報をもとにスマートフォンやPCの内部で秘密鍵と公開鍵のペアが生成され、秘密鍵はスマートフォンやPCの内部に厳密に保管される一方、公開鍵はネットワークを通じてサーバーに送られてログイン処理に用いられるのです。

重要な情報である秘密鍵は常にローカルデバイス内にあるため、ネットワークの盗聴やサーバーの
ハッキングが行われたとしても、ハッカーがそこから得られるのは公開されても問題のない公開鍵だけです。パスワードのように漏えいされたら悪用されて情報がサーバーで処理されてしまうケースよりも、ずっと安全な方式となります。

さらにパスキーによるログイン処理は、ログインの対象となるWebサイトやアプリケーションと関連づけられるため、フィッシング詐欺でユーザーが偽サイトに誘導されたとしても、そこではパスキーの
入力が有効になりません。パスキーはフィッシング詐欺に対する耐性も備えているのです。

そしてスマートフォンやPCに保管されている秘密鍵は、Apple IDやGoogleアカウント、Microsoftアカウントなどによって、同一ユーザーのデバイス間で安全に同期されるようになっています。そのため、デバイスを紛失した場合や、スマートフォンやPCを買い換える場合でも、スムーズにデバイス間の移行が可能になっています。

また前述の通り、秘密鍵はデバイスの中で暗号化チップなどによって厳重に保護されているため、
万が一デバイスを盗まれたとしても、そこから秘密鍵を取り出すのは非常に困難とされています。

これらの特徴を持つパスキーは、「FIDO Alliance」（ファイドアライアンス）が策定した認証技術「FIDO2」と、その技術をもとにWorld Wide Web Consortium（W3C）がWeb対応とした「WebAuthn」を技術的基盤としており、事実上の業界標準となっています。

前述の通り、パスキーは急速に普及しつつあり、すでにWindows、macOS、iOS、Androidなど主要なOSやWebブラウザは対応済みで、主要なWebサイトやアプリケーションでも対応が始まっています。
このように個人でパスキーを利用する環境は整いつつありますが、これからの課題は企業でのパスキー採用です。そこにはいくつかの課題が残っています。

課題の1つめは、現時点では主なパスキーのデバイス間の同期がGoogleアカウント、Apple ID、マイクロソフトIDに紐づいてしまっていることでしょう。パスキーの管理が特定のベンダーや特定のデバイスに結びついてしまうことは、多くの企業にとって好ましい状態ではないはずで、WindowsとMac、iPhoneとAndroidのデバイスを混在して管理したいというニーズは当然あると考えられます。

これに対するソリューションは1PasswordやLastPass、Bitwardenなど、デバイスやOSから独立した
パスワードマネージャー製品を提供しているベンダーから提供される見通しです。パスワードマネージャーをインストールしたデバイス間では、OSやWebブラウザの種類を超えてパスワードマネージャー間でパスキーが同期されるからです。どのパスワードマネージャーのベンダーもパスキーへの対応を発表しており、すでに1Passwordがパスキーへの対応を開始しています。

もう1つの課題は、社内で使う業務アプリケーションのパスキー対応をどう進めるかでしょう。主要なSaaSなどのサービスは時間の経過とともにパスキー対応が進むことはほぼ確実ですから、社内で開発もしくは社外に開発を依頼する業務アプリケーションでの対応が課題になるでしょう。

これに対するソリューションとしては、もちろん自力で実装することも可能ですが、おそらくはAuth0のような認証サービスを業務アプリケーションの認証部分に組み込んで活用することが簡単かつ迅速かつ確実な実装方法として、代表的なソリューションになると見られます。

それ以外にも、パスキーを利用するデバイスは個人所有のものか会社提供のものか、セキュリティポリシーはパスキーに合致するものかなど、企業ごとに解決すべき課題はあるでしょう。とはいえ、
パスキーが普及することで、フィッシング詐欺やハッキングといったパスワード漏えいによる事故は圧倒的に減ることが期待されます。よりセキュアな状況を望む企業にその採用は広がるはずです。

そしていつか、パスワードを使っていたことが懐かしく思えるようになれば、ネット社会は現在よりもずっと安全になっているはずです。早くそうした社会が実現されるように、多くの企業や個人が積極的にパスキーへの対応を果たすことが望まれます。