いま企業に求められる情報セキュリティ対策(第16回)

パスワードが無くても認証はできる!「パスキー」とは

 一般的にWebサービスでユーザーを認証する際、パスワードの入力が求められますが、最近ではパスワードを使用しない「パスキー」という新たな認証方法も生まれています。

パスワードは必要、でも面倒!

 Webサイトを利用する際に欠かせない要素が「パスワード」です。IDとパスワードを組み合わせることで、ネット上でユーザー本人の認証が可能になり、ネットバンクや通販サイトが利用できます。

 我々がネットのサービスを使う際に欠かせない存在であるパスワードですが、一方でデメリットもあります。その1つが「漏えいの恐れがある」点です。

 IDとパスワードが流出し、悪意のある人間の手に渡れば、たとえ本人ではなくても、その人間がネット上では“本人”として振る舞うことが可能です。特に最近では、本物のサイトにそっくりに作られた偽サイト(フィッシングサイト)に誤ってIDやパスワードを入力することで、入力した文字列が盗み取られる事件も発生しています。

 別のデメリットとしては「入力に手間がかかる」というのもあります。サイトを利用するごとに、パスワードをいちいち入力するというのは、それだけで面倒な作業です。加えて、パスワードは基本的には同じものを使い回さず、サイトごとに設定することが望まれているため、どのサイトにどのパスワードを設定したのか忘れてしまうと、思い出すだけで相当な時間がかかってしまいます。

 パスワード入力の手間を省く方法としては、Webブラウザにパスワードを登録するという方法もあります。しかしこの場合、端末を盗まれた場合、もしくはクラッキング(不正侵入)された場合、悪意のある人間にその機能を利用されるという危険もあります。

パスワードに置き換わる新たな認証技術「パスキー」とは?

 このように、パスワードにはさまざまな問題点が存在しますが、パスワードに置き換わる新たな認証技術として「パスキー(Passkeys)」というものが誕生しています。

 パスキーとは、パスワード不要の認証方法です。パスワードではなく、指紋や顔などの生体認証を用いることで認証を行います。生体以外にも、4~8桁の数字を入力する「PINコード」、スマートフォンやタブレットの画面に特定の模様を描く「パターンロック」の認証にも対応しています。

 パスキーの仕様を策定したのは、パスワードへの過度の依存を減らすことを目的に設立された非営利団体「FIDO(ファイド)アライアンス」です。同団体は、パスワードからパスキーに切り替えることで、Webサイトやアプリへのサインインを「より速く、より簡単に、より安全にする」としています。

 パスキーを利用するには、Webサイトやアプリがパスキーに対応している必要があります。パスキー対応のWebサイト・アプリにログインした後、希望の認証方法を選択、指紋などの情報を端末に登録します。これで、以降の認証はパスキーのみで行えるようになり、ID・パスワードの入力は不要となります。

 これにより、パスワード入力の手間が無くなるため、従来よりも素早く、手軽に認証できるようになります。加えて、ログイン時にパスワードの入力が求められないため、フィッシングサイトに誤ってIDやパスワードを入力する恐れもなくなり、安全面での効果も期待できます。

 FIDOアライアンスのサイトでは、パスキーについて「ウェブサイトやアプリへのサインインを、より速く、より簡単に、より安全にする」「パスキーは常に強固でフィッシングに強い」と、そのメリットを強調しています。

「dアカウント」などさまざまなサービスで続々導入

 パスキーはすでにさまざまなサービスで採り入れられており、すでに使用している人も多いでしょう。

 たとえば2023年4月にはNTTドコモが、同社の共通IDである「dアカウント」にパスキーを導入しました。同社ではもともとパスワードレスの認証を採用していたものの、利用の際には専用のアプリが必要でしたが、リニューアル後はアプリ無しでも、ブラウザ上でパスキー認証するだけで利用できるようになりました。

 2023年9月には、Windows11にパスキーの管理画面が追加されました。同10月には、Googleの個人アカウントにて、パスキーがデフォルトの認証手段として使用されています。

 このようにパスキーの導入は徐々に進みつつありますが、決してパスキーが万能というわけではありません。たとえば、PINコードを「1234」のようなシンプルな番号に設定していると、端末が第三者の手に渡った際、パスキーのロックを簡単に突破されてしまう危険性があります。

 かといって、桁を増やしたり複雑すぎるコードに設定した場合、パスワードと同様に忘れたり、入力が手間になる恐れもあります。これでは、パスキーの良さである認証の速さが失われます。端末が対応しているのであれば、本人以外では解除されにくく、かつ入力の手間も無い生体認証を利用するのが良いでしょう。

 パスワードは、ネットの黎明期から使われてきた、言ってみれば“レガシー”な認証方法です。パスキーは、そのアップデート版ともいえるでしょう。先に挙げたdアカウントのように、対応サービスは徐々に増えています。まずは身近なサービスで、パスキーを設定し、その使い心地を試してみてはいかがでしょうか。

連載記事一覧

メルマガ登録


NTT EAST DX SOLUTION


ミライeまち.com


「ビジネスの最適解」をお届けします 無料ダウンロード資料


イベント・セミナー情報

ページトップへ

ページ上部へ戻る