パスキーとは?仕組みやFIDO UAF認証との違いをわかりやすく解説
- 生体認証
公開日 2024.09.06
更新日 2024.09.06
パスキーは、パスワードに代わる新しい認証方式として注目されています。この記事では、パスキーの仕組みや特徴、設定方法、導入企業などを詳しく解説します。パスキーを導入することで、セキュリティ性とユーザビリティの両立が可能になり、情報漏洩のリスクを下げつつ顧客満足度を上げることができるでしょう。IT企業の経営者やサービス開発者、セキュリティ担当者は、ぜひお読み下さい。
目次
パスキーとは
パスキーとは、FIDO(ファイド)アライアンスが制定した規格で、パスワードを使わずに認証を行う新しい技術です。Windows、Android、iOSなどの主要なプラットフォームで利用可能で、マルチデバイスに対応しています。パスキーはデバイス内に安全に保存され、オンラインサービスへのログイン時や、決済などの取引時の当人認証に使用されます。
パスキーの仕組み
パスキーは公開鍵暗号方式の仕組みを利用しています。公開鍵暗号方式とは、公開鍵と秘密鍵のペアを使って認証する方式です。ある秘密鍵で暗号化したデータはペアになっている公開鍵でしか復号化できないという性質があり、この性質を用いて認証します。
ユーザーはサービスの利用登録時に公開鍵と秘密鍵を生成し、公開鍵はサーバー側に登録され、秘密鍵はユーザーのデバイスに保管されます。サービスへのログイン時には、以下のような流れで認証が行われます。
- ユーザーがユーザー名を入力
- サーバーがユーザーに「チャレンジ」を送信
- 生体認証(顔・指紋)、またはPINコードの入力
- ユーザーのデバイスが秘密鍵で「チャレンジ」に署名
- ユーザーがサーバーに4を送信
- サーバーが公開鍵でチャレンジの署名を検証
このように、パスキーを使った認証では、秘密鍵そのものがユーザーのデバイスから外部に送信されることはありません。また、公開鍵はチャレンジの署名の検証にのみ使用され、署名は秘密鍵でなければできないため、たとえ公開鍵が漏洩してもなりすましのリスクはありません。これにより、パスワードに比べて高いセキュリティを実現しているのです。
生体認証との違い
パスキーと一般的な生体認証の違いは、生体情報を外部に送るかどうかです。ユーザーから見ると、パスキー認証時に生体認証を行いますが、これはデバイス内の秘密鍵にアクセスする為の認証です。生体情報をインターネット経由で外部に送信するものではありません。
実際には、パスキー認証システムはデバイス内の秘密鍵を使った公開鍵暗号方式(デジタル署名)に基づいています。この秘密鍵へのアクセスを保護するために、デバイスでは生体認証またはPINなどの手段が用いられます。
つまり、サーバーへの認証はデバイスから発信されるデジタル署名により行われ、生体情報はサーバーに送信されることはありません。ユーザーは生体認証やPINを使ってデバイスのセキュリティを確保し、そのデバイスに保存された秘密鍵を使って安全にサービスへログインできます。ユーザーの生体情報はデバイス内に留まり、外部への流出リスクが軽減されているのです。
FIDO UAF認証との違い
「パスキー」という言葉には、「広義のパスキー」と「狭義のパスキー」という2つの意味があります。
- 広義のパスキー=FIDOアライアンスが定めたパスワードレス認証方法としての総称
- 狭義のパスキー=クラウドを介してクレデンシャル(認証資格情報)を複数の端末で共有する仕組み
FIDO UAF認証にも、広義のパスキーに含まれるデバイス依存の秘密鍵による認証技術が入っており、ユーザーはパスワードレスな認証を実現できます。
FIDO UAFはパスキーを含めた他の認証方式よりセキュリティ強度が高いという強みがあります。
しかし、FIDO UAF認証はデバイスに依存するという課題がありました。この課題を解決したのが、狭義のパスキーであり、複数のデバイス間で認証資格情報を共有することで、デバイス紛失や機種変更があった際にも今までと同じように認証を行えます。
「パスキー」という言葉が登場した当初は、狭義のパスキーを指していましたが、現在では、広義のパスキーを指すことが一般的になっているため、注意が必要です。
パスキーの特徴
パスキーは、複数のデバイスで同期できます。これは、パスキーがAppleやGoogleのパスワードマネージャーを利用してクラウド上にも保存されるためです。このため、同じApple IDやGoogleアカウントを利用すれば、スマホだけではなくタブレットやパソコンでも、パスキーを使用できます。
これにより、ユーザーは様々なデバイスで同じパスキーを使って認証できるため、利便性が高まります。
また、複数のデバイスで同期できることで、万が一1つのデバイスを紛失しても、他のデバイスでパスキーを使用し続けることができるので便利です。企業にとっては、ユーザーの利便性が向上することで顧客満足度が上がり、さらにデバイスの紛失時もスムーズに対応できるようになるというメリットがあります。
パスキーを自社サービス・アプリに導入している企業
パスキーは、多くの大手企業が自社サービスやアプリに導入しています。たとえば以下のような企業です。
- マイクロソフト
- Apple
- PayPal
- eBay
- Amazonなど
日本でも採り入れている企業が増えてきています。たとえば以下のような企業です。
- au
- docomo
- 任天堂
- SONY (PlayStation)
- メルカリ
- MIXI
- マネーフォワード
これらの企業は、ユーザーのセキュリティとプライバシーを重視し、パスキーによるパスワードレス認証を推進しています。パスキーは、従来のパスワードに比べて非常に高いセキュリティ性を持ち、フィッシングや不正アクセスのリスクを大幅に減らすことができます。また、ユーザーにとっても使いやすく、複数のデバイスで同期できるため利便性が高いです。こうした利点から、パスキーの導入企業は今後さらに増えていくと予想されています。
自社サービスでパスキーに対応するメリット
パスキーを自社サービスに導入するメリットは、大きく2つあります。
- セキュリティ性の高さ
- ユーザビリティの高さ
パスキーはパスワードに比べて推測や流出のリスクが低く、フィッシング攻撃などにも強いため、ユーザーの個人情報や機密データを安全に保護できます。
また、パスキーを使えば、ユーザーはパスワードを覚えたり入力したりする手間が省け、ワンタッチでスムーズに認証できます。こうした利便性の向上は、顧客満足度の向上につながります。
以上2つのメリットから、機密情報を扱うサービスを提供していたり、ユーザー体験の向上を重視したりしている企業には、パスキーの導入がおすすめだと言えるでしょう。
セキュリティ性が高いため情報漏洩のリスクを下げられる
パスキーは、公開鍵暗号方式を使用しているため、秘密鍵がサーバー上に保存されることがなく、たとえサーバーが攻撃されても漏洩するリスクが低いです。
パスキーはデバイス上で生成され、秘密鍵が認証時に外部に送られることはありません。また、パスキーは登録したWebサイトのURLに紐づいて生成・利用されます。そのため、見た目は酷似しているもののURLが異なるフィッシングサイトで誤って認証してしまったり、認証情報を送ってしまったりすることもありません。
ユーザーは安心してサービスを利用でき、企業は顧客の情報を安全に保護できるため、信頼性の向上につながるのです。
ユーザビリティが高いため顧客満足度を上げられる
パスキーはユーザビリティが高いと言えます。パスワードを覚える必要がなく、IDの入力もなしにデバイスの直感的な操作だけで認証できるからです。
また、クラウドを介して複数端末でパスキーを共有できるため、機種変更やデバイスの紛失の際も、認証できなくなることがありません。
こうしたユーザビリティの高さは、ユーザーの利便性を向上させ、結果的に顧客満足度の向上につながります。さらに、パスキーを導入した企業にとっても、問い合わせの減少やユーザー離れの防止など、様々なメリットがあると考えられます。
パスキーの導入によるデメリット・注意点
パスキーには多くのメリットがある反面、異なるプラットフォーム間で同期できないというデメリットも存在しています。1つのパスキーを使って、AppleやGoogleなど、異なるプラットフォームのサービスで同じように認証することはできません。
パスキーはプラットフォームのIDに紐づいて設定され、プラットフォームを跨いだ利用はできないのが現状です。これは、各プラットフォーマーが技術的な理由やセキュリティ上の観点から、プラットフォームのIDを跨いだパスキーの利用をサポートしていないためです。
そのため、異なるプラットフォームでパスキーを使用したい場合には、それぞれのプラットフォームごとにパスキーを登録し直す必要があります。
デバイス紛失による認証情報の漏洩リスク
パスキーは、デバイスとクラウド(Apple、Google、Microsoftのパスワードマネージャー)上に保存されます。デバイス内に保存されているパスキーは、デバイスの紛失によって情報漏洩のリスクが生じる可能性があるため、生体認証を設定しておくことがおすすめです。
一方、パスキーをクラウドに保存している場合は、デバイスの紛失は直接的な情報漏洩につながりません。しかし、Apple ID、Google Account、MicrosoftアカウントのID、パスワードが漏洩すると、パスキーも漏洩する可能性がある点に注意が必要です。
これらの点を考慮すると、パスキーはパスワードレスの認証方式として単独で使用できるものの、機密性の高い情報を扱う場合には他の認証方式と組み合わせることが望ましいでしょう。たとえば、パスキーに加えてSMS認証を設定することで、デバイスが紛失しても、不正アクセスや情報漏洩を防止できます。
なお、Polarifyでは、民間利用できる公的個人認証サービス「Polarify 公的個人認証サービス(JPKI)」を提供しています。指紋や声紋などの生体認証を設定できるため、デバイスを紛失しても情報漏洩につながりにくいです。セキュアで安全な認証を実現したい場合には、ぜひ一度お問い合わせください。
おわりに
パスキーは、デジタル認証の新しい技術を切り開いています。これは、セキュリティと利便性のバランスを考えた革新的なアプローチであり、従来のパスワードや他の認証手段に比べて数多くの利点を提供します。
パスキーの普及と効果的な活用にはまだ課題が残されていますが、将来的にはこれらの課題を克服し、より多くのプラットフォームでパスキーが標準的な認証方法として採用されると思われます。パスキーの進化は、私たちのデジタルライフをより安全で便利なものに変えていくでしょう。
本記載の内容は、その時々の環境に応じて変更になる可能性がございます。
技術の進展・改廃等について将来の動向等を保証したり、断定するものではございません。
本記載のサービス等の中には弊社で取扱いできない場合もございます。また弊社として同サービス等の提供をお約束するものではございません。
本記載のサービス等の取り組みを検討される際には、その内容及び貴社が負うこととなる各種リスク等について、必ず貴社自身にてご判断ください。