Google　Chromeなどで利用ができるパスキー（passkey）とは

2023.09.27

投稿者: chiebo

皆さんはパスワードの管理、どうされてますか？仕事だけでなく、最近はプライベートでもオンラインサービスを利用することが多く、IDとパスワードがどんどん増えていきます。
「連想しやすいのはダメ」「定期的に変えましょう」「使い回ししないように」など、気をつけることも多く、面倒になりがちです。今回は、パスワードに変わる便利な仕組み「パスキー（passkey)」についてまとめてみました。

この記事でわかること
　・パスワードに代わる新たな仕組み「パスキー」について
　・Google・Apple・Microsoftの対応状況について
　・パスキーのデメリットについて

パスワードに代わる新たな仕組み「パスキー」とは

オンラインサービスやソフト・アプリの認証などは、IDとパスワードを対応させて行うことが現時点でのデフォルトになっています。しかし、パスワードの管理は個人の責任に任されており、非常に煩雑で面倒な思いを強いられます。

また、悪意ある攻撃者によるフィッシング詐欺などが横行していることも、大きな問題です。IT技術の進化で私たちの生活はどんどん便利になっているにも関わらず、パスワードに関しては20年前から変わらず、一向に利便性が向上していません。

セブンイレブンが導入しようとした決済サービス「7pay」で話題になった2段階認証のように、セキュリティを強化する手段も導入が進んでいます。しかしこの2段階認証は、確かにセキュリティの強度は上がるものの、認証のステップが増える分だけ手間も増加します。

そこで新たに登場した「簡単・便利で安全な認証の仕組み」が「パスキー（passkey)」です。パスキーは、FIDOアライアンスという、パスワードレス認証基準を普及させる団体が制定し、Apple・Google・Microsoftなどが導入を進めています。また、「マルチデバイス対応FIDO認証資格情報」が正式名称であり、複数端末でも利用できるという特徴があります。

従来のパスワードは、サイトごとに異なるものを設定し、それをエクセルやアプリなどで記録や管理をおこなっていました。最近ではOSが提供する機能やブラウザなどでパスワードを管理してくれるようになりましたが、それでも情報が盗まれてしまう危険は常にあります。

マルウェアの攻撃やフィッシングサイトへ誘導されるなど、悪意のある攻撃者は常に私たちを狙っています。2段階認証はユーザーの持つモバイル端末などを利用して認証する仕組みであり、異なる方法でダブルチェックすることで本人確認をより確実にしています。

最新のスマホでは生体認証を採用していることから、本人確認が確実にできるというメリットがある反面、手順が一つ増えるためやや面倒な点も否定できません。

「パスキー」の仕組み

パスキーの仕組みを理解するには、FIDO2・WebAuthn・公開鍵暗号という3つのキーワードについて知っておく必要があります。

FIDO2は生体認証に公開鍵暗号技術を用いるパスワードレス認証技術です。

WebAuthnはFIDO2認証をWebブラウザ経由で利用できるようにする仕組みであり、さまざまなWebサービスが今まさに必要としている技術です。

公開鍵暗号は、現在最も堅牢な暗号方式であり、現実的な時間で突破することが困難とされています。
公開鍵暗号の仕組みは、利用者が秘密鍵を保有し、それを使って公開鍵を作成します。公開鍵は情報にロックをかける役割であり、秘密鍵はそれを開錠する役割を担います。
利用者は公開鍵を通信回線などを使って相手に渡し、相手は受け取った公開鍵を使って情報を暗号化します。暗号化された情報を受け取った利用者は＜秘密鍵を使って開錠（復号化）することで、安全に情報のやりとりを完結できます。

公開鍵から秘密鍵を推定することは物理的に不可能です。そのため、公開鍵は誰に知られても問題なく、秘密鍵さえしっかり管理しておけば良いと言う仕組みとなっています。

今回話題としている「パスキー」は、まずユーザーIDとサービス提供先のURLを紐つけた形で端末に保存します。パスワードが作成されないことから、パスワードが盗まれる心配をする必要もありません。
さらにサービス提供先のURLが保存されているので、見た目が似たようなフィッシングサイトに情報を渡すことがありません。

ユーザーはパスワードを覚える必要も、管理する必要もありません。また必要な情報はApple ID・Googleアカウント・Microsoftアカウントなどを通じて、各プラットフォーマーごとにクラウド上で管理されます。
そのため、デバイスが変わってもIDやアカウントが共通であれば、改めて設定する必要なく、すぐに同期し利用することができます。

■パスキーの特徴
　・パスワードを覚えなくても良い
　・管理の手間がない
　・指紋認証や顔認証テクノロジーを利用しているので、本人確認が確実
　・ウェブサイト、アプリの両方で使える
　・安全性が高く、推測や再利用が不可能なのでハッカー攻撃に強い
　・マルチデバイス対応

パスキーは、このような優れた特徴があり「簡単・便利で安全」な次世代の認証技術です。*注1

Google・Apple・Microsoftの対応状況

パスキーに対しては、Google・Apple・Microsoftなどのプラットフォーマーが導入を進めています。現時点では、Windows10・macOS Ventura・chromeOS 109以降の各OSが対応し、iOS 16、Android 9以降を搭載したモバイルデバイスや、Chrome 109・Safari 16・Edge 109以降のブラウザにも対応しています。

日本のベンダーでも、Yahoo! Japan・KDDI・NTT DOCOMOなどがパスキーに対応するなど、本格的な利用拡大が進んでいるところです。このような状況を見る限り、今後はIDとパスワードという旧式の認証方法に対して、パスキーが置き換わっていくことは、ほぼ確実でしょう。

端末の方はiPhoneとAndroidがすでに対応済みであり、Google Chromeなどのブラウザでも利用が可能ですので、ほぼ全てのインターネットユーザーをカバーしていると言えるでしょう。あとは、サービス提供側がパスキーを導入すればいいだけです。

前述した7Payの失敗でもわかる通り、自社開発のシステムでセキュリティが不十分だと大きな問題になってしまいます。その点、サービス提供事業者にとっても、パスキーを導入することで安全が確保できるというのは十分に魅力的なはずです。
パスキーを認証に利用することがそのまま、そのサイトの安全性を担保することにも繋がります。利用者に対するアピールにもなるでしょう。*注2

パスキーのデメリットについて

パスキーのデメリットは2つあります。
一つ目は、まだ対応しているサイトが多くないこと。これはパスキーが普及の初期段階であることから、ある程度仕方ないとも言えます。今後、その効果が認められれば、順次現在の認証方法から移行していくので時間の問題と言えます。

二つ目は、プラットフォーマーのエコシステムを超えて、マルチデバイスで利用することができない点です。
iPhoneユーザーであれば、Apple IDを通じてApple製品同士でパスキーを同期し、利用することが可能です。しかし、iPhoneからAndroidへ乗り換える際には、このエコシステムを超えるため同期することができません。そのため、Android端末側で再度パスキーの設定をする必要があります。
マルチデバイス対応といっても、プラットフォーマーを超えるような同期ができないため、この点は少し面倒に感じる部分ではないでしょうか。

一つ目の課題は、パスキーを採用するサイトが増加することで自然に解消できるでしょう。
二つ目の課題については、プラットフォーマー同士の連携や、第三のパスキー管理サービス形が登場しない限り残りそうです。
しかしこのような課題を考慮しても、パスキーは現在の認証システムに比べ非常に便利で安全なことは間違いありません。

【まとめ】
冒頭にパスワードの管理方法として「定期的に変えましょう」と記載しましたが、実はこれは古い常識のようです。定期的にパスワードを変更しても、攻撃者に対する耐性はそれほど向上せず、ほとんど無意味のようです。この事は、米国立標準技術研究所（NIST）や日本内閣サーバーセキュリティセンター（NISC）がアナウンスしています。
セキュリティに対する常識は日々アップデートしながら、より安全で確実な方法を選択するようにしなければいけません。