自社サービスに「パスキー」を導入する企業が増えている(写真:jessie/PIXTA)

セキュリティと利便性を両立させるという、パスワードレス認証「パスキー」。近年、グーグルやアップル、マイクロソフトといったアメリカ大手IT企業をはじめ、国内でも自社サービスのログイン方法として導入する企業が増えている。

パスワードに代わる新たなログイン方法として注目されているが、今後はコンシューマーサービスだけでなく、企業内への導入も進むのだろうか。

「パスワードに代わるログイン方法」として導入増

パスキーとは、非営利団体のFIDO(Fast IDentity Online、通称ファイド)アライアンスが提唱する、技術仕様「FIDO」に基づく認証方式だ。


東洋経済Tech×サイバーセキュリティのトップページはこちら

生体情報などを使ったシンプルな操作でログインが可能となり、煩わしいパスワードの入力や管理から解放されるだけでなく、フィッシング攻撃も防げるという。いったいどういう仕組みなのか。

FIDOアライアンス執行評議会ボードメンバーとFIDO Japan WG座長を務める、NTTドコモのチーフセキュリティアーキテクトで経営企画部セキュリティイノベーション統括担当の森山光一氏は、「パスキーはパスワードに代わるもの」だと語る。

「パスワードは覚えるのが大変で、フィッシング詐欺のように第三者に盗まれ悪用される問題も絶えない。そこで世界のIT業界の有志が集まり、2012年にFIDOアライアンスを立ち上げ、使い勝手とセキュリティを両立する認証方法の標準化を目指してきた。

その結果、利用が広がり始めているのが、公開鍵暗号方式を活用したパスキーだ。これは、パスワードという短い『テキスト文字列』ではなく、暗号化されたランダムな文字列からなる『ペアの鍵』を使う認証方式となっている」

「フィッシング攻撃」を防ぐ仕組みとは?

例えば、ユーザーがスマホの生体認証を使ってあるウェブサービスのログインを行いたい場合、まずはそのサービス提供者にパスキーの登録を要求する。すると、スマホに内蔵されている認証器に「チャレンジ」と呼ばれるコードが送信され、ユーザーは本人確認が求められる。

そこで指紋や顔などの生体情報を使って本人認証を行うと、「秘密鍵」と「公開鍵」というペアの鍵がつくられる。認証器は秘密鍵を使い、先ほど送られてきたチャレンジに署名をして公開鍵とともにサービス提供者に送信する。

サービス提供者は公開鍵で署名付きチャレンジを検証し、問題がなければパスキーの登録を要求したユーザーと公開鍵との関係を記録して、登録完了となる。

ログインの仕組みもほぼ同じ流れだ。ユーザーがウェブサービスにログインを要求すると、スマホにチャレンジが送られてくる。生体情報で本人認証を行うと、認証器は秘密鍵でチャレンジに署名をし、サービス提供者に送信。サービス提供者はそのユーザーの登録済みの公開鍵で署名付きチャレンジを検証し、間違いがなければログインが許可される。


つまり、秘密鍵は認証を行うデバイスに、公開鍵はサービス提供者のサーバーに保存され、やり取りするデータはチャレンジと署名のみとなるから、ネットワーク上に生体情報が流れることはない。そのためネットワーク上でやり取りが発生するパスワードよりも安全性が高く、フィッシング耐性があるといえるのだ。

現在パスキーは、指紋や顔による生体認証での利用が主流となっているが、PINやパターンロックなどの選択肢もある。生体認証を使いたくないユーザーや、身体上あるいは職業上の理由から利用できないユーザーもいるためだ。デバイスによってどの認証に対応しているかは異なるが、認証方法は生体認証だけではない。

「いずれにせよ、デバイスと紐づく認証情報はネットワーク上に流れない。世の中に100%安全なものはないが、パスキーの仕組みは、フィッシング詐欺などによるセキュリティ事故が極めて起きにくいと言えるだろう」と、森山氏は言う。

「パスキー」を自社サービスに導入する企業が急増

2023年は、下記のように名だたるIT企業がパスキーを自社サービスに導入し始め、急速に利用が進んだ。「パスキーはWindows、macOS、iOS、Androidで対応しており、パスキーを利用できるスマホやPCが増えたことも普及を後押ししている」と森山氏は話す。

■2023年にパスキーを自社サービスに導入した主な企業

アドビ、アマゾン、アップル、CVSヘルス、ダッシュレーン、ドキュサイン、グーグル、ハイアット、インスタカート、カヤック、LINEヤフー、メルカリ、NTTドコモ、任天堂、ワンパスワード、ペイパル、ショッピファイ、ティックトック

FIDOアライアンスの加盟企業は約250社、うちFIDO Japan WGには64社の日本企業が参加(2023年12月現在)しており、「日本企業は欧米よりも導入に積極的だ」と森山氏は言う。すでに成果も出ているようだ。

例えばKDDIでは、FIDO登録は1000万人以上を突破し、ログイン関連の問い合わせやコールセンターへの入電数が3割減少。LINEヤフーでは、パスキー設定アクティブユーザーが2100万人、さらにスマホでのユーザー認証回数のうち、40%以上がパスキーによる認証となっている。

メルカリでは、パスキー登録者数が210万人、認証の所要時間を20.5秒短縮。NTTドコモでは、dアカウントにおけるパスキー利用率が37%となり1年間で約2倍伸びたほか、ドコモの回線を持たないユーザーにはドコモオンラインショップでのパスキーを必須にしたところ、身に覚えのない買い物に関する問い合わせがゼロになった。

このように、現在パスキーの導入は、コンシューマーサービスを提供する企業を中心に先行している。今後は企業の社内システムの認証などにも広がるのだろうか。

「組織内の導入でいうと、近畿大学が学生や職員の認証手段としてFIDO認証の利用を始めた。企業では、NECが全社的にパスワードレス化を進めており、今後はパスキーも選べるよう取り組む予定だという」と、森山氏は説明する。

企業が社内でパスキーを導入するメリットは、社員の本人確認の安全性と使い勝手が高まることにある。しかし現状、社内利用が進んでいないのは、何が障壁になっているのだろうか。

「パスキーに対応したデバイスやITシステムに変更しようとなると、既存システムの更改タイミングなどもあり、今すぐに導入とはいかない場合は多いかもしれない。ただ、サーバーの運用などについてもこれから企業の事例がどんどん出てくるだろうし、それに伴い企業のIT担当者の関心も高まり、パスワードレス化、パスキー化は進んでいくだろう」

利便性が向上する一方で「新たな脅威」の可能性も

パスキーの展望と課題について、森山氏はこう語る。

「パスキーはデバイスの紛失や機種変更の際に再設定が必要であることが普及のネックとなっていたが、AppleやGoogleといったOSプラットフォームのクラウド上に秘密鍵のデータを安全に同期できるようになり、利便性がさらに向上した。パスワードマネージャーを手掛ける企業もパスキー対応を始めており、一般ユーザーの裾野はより広がりやすくなるだろう」

一方、ユーザーの選択肢が増えてきたことで、セキュリティに関する新たな脅威を潜在的に増やしている可能性があるという。そのため、「FIDOアライアンスではつねに事案の予測や防御に対する議論を行い、さらなる高いレベルでのセキュリティ向上を図っている」と森山氏は話す。

普及への課題や未知の脅威といった問題もあるが、脱パスワードレスの動きは広がり始めている。フィッシングが高度化し、パスワードに関するインシデントが解消されない中、経営者は自社サービスや社内の認証のあり方を再考すべきときがきている。

(國貞 文隆 : ジャーナリスト)