2024.03.29 (Fri)
いま企業に求められる情報セキュリティ対策(第16回)
パスワードが無くても認証はできる!「パスキー」とは
一般的にWebサービスでユーザーを認証する際、パスワードの入力が求められますが、最近ではパスワードを使用しない「パスキー」という新たな認証方法も生まれています。
パスワードは必要、でも面倒!
Webサイトを利用する際に欠かせない要素が「パスワード」です。IDとパスワードを組み合わせることで、ネット上でユーザー本人の認証が可能になり、ネットバンクや通販サイトが利用できます。
我々がネットのサービスを使う際に欠かせない存在であるパスワードですが、一方でデメリットもあります。その1つが「漏えいの恐れがある」点です。
IDとパスワードが流出し、悪意のある人間の手に渡れば、たとえ本人ではなくても、その人間がネット上では“本人”として振る舞うことが可能です。特に最近では、本物のサイトにそっくりに作られた偽サイト(フィッシングサイト)に誤ってIDやパスワードを入力することで、入力した文字列が盗み取られる事件も発生しています。
別のデメリットとしては「入力に手間がかかる」というのもあります。サイトを利用するごとに、パスワードをいちいち入力するというのは、それだけで面倒な作業です。加えて、パスワードは基本的には同じものを使い回さず、サイトごとに設定することが望まれているため、どのサイトにどのパスワードを設定したのか忘れてしまうと、思い出すだけで相当な時間がかかってしまいます。
パスワード入力の手間を省く方法としては、Webブラウザにパスワードを登録するという方法もあります。しかしこの場合、端末を盗まれた場合、もしくはクラッキング(不正侵入)された場合、悪意のある人間にその機能を利用されるという危険もあります。
パスワードに置き換わる新たな認証技術「パスキー」とは?
このように、パスワードにはさまざまな問題点が存在しますが、パスワードに置き換わる新たな認証技術として「パスキー(Passkeys)」というものが誕生しています。
パスキーとは、パスワード不要の認証方法です。パスワードではなく、指紋や顔などの生体認証を用いることで認証を行います。生体以外にも、4~8桁の数字を入力する「PINコード」、スマートフォンやタブレットの画面に特定の模様を描く「パターンロック」の認証にも対応しています。
パスキーの仕様を策定したのは、パスワードへの過度の依存を減らすことを目的に設立された非営利団体「FIDO(ファイド)アライアンス」です。同団体は、パスワードからパスキーに切り替えることで、Webサイトやアプリへのサインインを「より速く、より簡単に、より安全にする」としています。
パスキーを利用するには、Webサイトやアプリがパスキーに対応している必要があります。パスキー対応のWebサイト・アプリにログインした後、希望の認証方法を選択、指紋などの情報を端末に登録します。これで、以降の認証はパスキーのみで行えるようになり、ID・パスワードの入力は不要となります。
これにより、パスワード入力の手間が無くなるため、従来よりも素早く、手軽に認証できるようになります。加えて、ログイン時にパスワードの入力が求められないため、フィッシングサイトに誤ってIDやパスワードを入力する恐れもなくなり、安全面での効果も期待できます。
FIDOアライアンスのサイトでは、パスキーについて「ウェブサイトやアプリへのサインインを、より速く、より簡単に、より安全にする」「パスキーは常に強固でフィッシングに強い」と、そのメリットを強調しています。
「dアカウント」などさまざまなサービスで続々導入
パスキーはすでにさまざまなサービスで採り入れられており、すでに使用している人も多いでしょう。
たとえば2023年4月にはNTTドコモが、同社の共通IDである「dアカウント」にパスキーを導入しました。同社ではもともとパスワードレスの認証を採用していたものの、利用の際には専用のアプリが必要でしたが、リニューアル後はアプリ無しでも、ブラウザ上でパスキー認証するだけで利用できるようになりました。
2023年9月には、Windows11にパスキーの管理画面が追加されました。同10月には、Googleの個人アカウントにて、パスキーがデフォルトの認証手段として使用されています。
このようにパスキーの導入は徐々に進みつつありますが、決してパスキーが万能というわけではありません。たとえば、PINコードを「1234」のようなシンプルな番号に設定していると、端末が第三者の手に渡った際、パスキーのロックを簡単に突破されてしまう危険性があります。
かといって、桁を増やしたり複雑すぎるコードに設定した場合、パスワードと同様に忘れたり、入力が手間になる恐れもあります。これでは、パスキーの良さである認証の速さが失われます。端末が対応しているのであれば、本人以外では解除されにくく、かつ入力の手間も無い生体認証を利用するのが良いでしょう。
パスワードは、ネットの黎明期から使われてきた、言ってみれば“レガシー”な認証方法です。パスキーは、そのアップデート版ともいえるでしょう。先に挙げたdアカウントのように、対応サービスは徐々に増えています。まずは身近なサービスで、パスキーを設定し、その使い心地を試してみてはいかがでしょうか。
連載記事一覧
- 第1回 クラウド時代のサイバー犯罪「なりすまし」をどう防ぐ?2023.11.10 (Fri)
- 第2回 社外で使用するPCやスマホをどうやって管理する? MDMのススメ2023.11.10 (Fri)
- 第3回 "サイバー攻撃は防げない"が前提のセキュリティ対策「EDR」とは2023.11.10 (Fri)
- 第4回 クラウドに潜む情報漏えいの危険は「CASB」で守る2023.11.10 (Fri)
- 第5回 ゼロトラストとは何か?導入のメリットを解説2023.11.17 (Fri)
- 第6回 新たな詐欺「スミッシング」を防ぐ方法とは2023.12.21 (Thu)
- 第7回 便利だけど危険!?「フリーWi-Fi」を安全に使う方法2024.01.17 (Wed)
- 第8回 ウイルス感染の警告は嘘?「サポート詐欺」が増加中2024.02.09 (Fri)
- 第9回 「スマート工場」に求められるセキュリティとは?2024.03.29 (Fri)
- 第10回 すべての通信を信用しない「ゼロトラスト」とは何なのか2024.03.29 (Fri)
- 第11回 未解決の脆弱性を狙った「ゼロデイ攻撃」を防ぐ方法とは2024.03.29 (Fri)
- 第12回 「IoTボットネット」にご注意。総務省の資料を読み解く2024.03.29 (Fri)
- 第13回 フィッシング詐欺はどうやって防げば良いのか?2024.03.29 (Fri)
- 第14回 「遠隔操作ソフト」が詐欺に使われている!その手口とは2024.03.29 (Fri)
- 第15回 過去15年で最悪の被害件数「特殊詐欺」の防ぎ方2024.03.29 (Fri)
- 第17回 Gmailにメールが届かなくなる?ガイドラインが変更2024.03.29 (Fri)
- 第16回 パスワードが無くても認証はできる!「パスキー」とは2024.03.29 (Fri)
- 第18回 IPAが選出、2024年の「情報セキュリティ10大脅威」とは2024.03.29 (Fri)
