パスキーとは？ パスワード認証に代わる安全で便利な認証方式を解説

パスキーとは、パスワード認証に代わる安全で利便性の高い認証方法です。正式名称は、「multi-device FIDO credential 認証方式」で、FIDOアライアンスが定めるFIDO2認証フレームワーク（引用：「FIDO Alliance：ユーザー認証仕様の概要」）が提唱するWebサービスの認証方法です。パスキーは、ID・パスワード認証やSMS二段階認証よりも安全で利便性が高いとされています。このことから、GoogleやMicrosoftでは、アプリや自社製品にパスキーの実装を進めています。

パスキーの仕組み

安全で利便性の高いパスキーの仕組みは、公開鍵暗号方式です。公開鍵暗号方式は、サーバーやアプリ側に公開鍵を、ユーザーが所持しているデバイス側に秘密鍵を格納しておきます。ログインをする際は、この公開鍵と紐づけしてある秘密鍵をBluetooth通信で送信します。さらに、デバイスの生体認証（指紋認証や顔認証）によってこの送信は認証され、強固な仕組みとなっています。サイバー攻撃に弱いとされるパスワードを使う必要がなく、Bluetooth通信を利用することで、遠隔地からの攻撃や不正ログインが出来なくなるのです。

パスワード認証に代わる安全で便利な認証方法

FIDO2認証では、端末にクレデンシャル情報を保管するため、端末を買い換えた際は、改めてログイン設定をやり直す必要があることが課題でした。パスキー認証では、クレデンシャル情報を複数の端末で同期できる機能が規格化されており、まさにパスワード認証に代わる認証方法です。ちなみに、なぜパスキーと呼ぶのかというと、FIDO認証やパスワードレス認証というのは一般の方に馴染みにくい呼び方であるため、「パス“ワード”に代わるパス“キー”」という馴染みやすい呼称に決まったそうです。

パスキーは、安全で利便性の高い認証方法であることは、既に解説した通りです。ここでは、より具体的にメリットを解説していきます。

フィッシング詐欺に強い

パスキーでは、クレデンシャル情報と共にWebサイトのドメイン情報が保存されます。したがって、認証の際は保存されたドメイン情報との一致が必要です。つまり、実質的にフィッシング詐欺が不可能になり、ユーザーはWebサイトのURLを気にする必要がなくなります。パスキー認証は、フィッシング詐欺に強いどころか、不可能にしてしまうのです。

ローカル認証でリモート攻撃への耐性がある

パスキーは、ローカル認証が採用されているため、リモート攻撃への耐性があります。ローカル認証とは、ネットワークにはクレデンシャル情報を送らずにデバイス上で認証を行う方法です。つまり、デバイス内で行われる生体認証のことで、パスキーはこのローカル認証を基に署名を作成し、サーバーに送信し、サーバーはこの署名を基に認証を行います。パスワード認証では、ユーザーの入力した文字列をサーバーに送信して検証しますが、パスキーではローカル認証とサーバーでの署名検証の二段階認証を行っているため、リモート攻撃ではローカル認証を突破することができないため耐性があると言えるでしょう。

デバイス間での同期が可能

パスキーの利便性の高さを象徴しているのが、デバイス間で同期が可能な点です。従来、FIDO認証では、クレデンシャル情報は同じデバイス内でしか使えないようにすることで、サイバー攻撃から物理的に守っていました。しかし、それではデバイスを移行する際に利便性とセキュリティの面で問題がありました。パスキーは、デバイス間の同期が可能なため、そうした問題を丸ごと解決します。ただし、パスキーのデバイス間の同期は、同じプラットフォーム内の認証に限られます。GoogleであればGoogle Password Manager、AppleであればiCloud Keychainの認証に限られ、現在のところは、これらのプラットフォームで横断的な同期はできません。ただ、今後は異なるプラットフォーム間でパスキーの同期ができるようになるかもしれません。

アカウントセレクターでIDの記憶も不要になる

実際、AppleやGoogleでは以前から使えた機能ではありますが、パスキーではユーザーがいちいちアカウント名を入力する必要はなく、パスキーに保存されたアカウントを選択（タップ）して、ローカル認証をするだけで、複数のアカウントがあっても簡単にログインできます。パスワードだけでなく、アカウント名やユーザーIDも忘れてしまうことがなくなります。

スマホでのログインが可能

Googleでは、スマホをセキュリティキーとして登録し、二要素認証をする機能が以前からありました。パスキーになるとこの機能が拡張され、Google以外でもQRコードを介して別のブラウザからログイン出来るようになりました。この機能は、AppleのSafariにも導入されています。つまり、Windows上のSafariにiPhoneを使ってログインすることもmacOS上のSafariにAndroidでログインすることも出来るようになりました。

安全で利便性の高いパスキーにも懸念点はあります。パスキーの懸念点も知ることで、さらに理解を深めましょう。

組織で使うときには課題が残る

Apple IDでは利用できません。つまり、個人利用向けの機能ということになります。Googleであれば、同じプラットフォーム内での同期になるため、Android以外のプラットフォームでは利用できません。また、組織内でGoogle Password Managerを制限しているような場合があるため、導入は難しいでしょう。また、FIDO認証のときは対応できていたクレデンシャル情報の複製攻撃への耐性が弱い点も、組織で利用する際の懸念点です。プラットフォーム内のアカウントが漏洩してしまうと、同時にパスキーにも侵入され、信頼できないクレデンシャル情報を登録されてしまう可能性があります。しかし、パスキーはまだ発表されたばかりで、今後の進化に期待したいところです。

秘密鍵が漏洩するとなりすましの被害をうける

セキュリティが強固なパスキーでも、秘密鍵が漏洩してしまうとなりすましの被害を受けます。攻撃者は、秘密鍵を入手した後、自身のデバイスにその秘密鍵を登録し、ログインするという攻撃ができます。さらに、その危険性は、クレデンシャル情報を同期する端末を増やせば増やすほど高まると言えるでしょう。ただ、パスキーの安全性という面は、進化していくことが考えられます。GoogleやAppleの今後の対応に注目していきましょう。

ここまで、パスキーについて解説してきました。
まだ発表されたばかりで、懸念点はいくつかありますが、利便性と安全性の高い認証方式であることに変わりはありません。パスワード時代が終焉を迎えるとともに、様々な認証方式が登場しています。パスキーは今後に期待される認証方式の1つであるでしょう。
この記事を読んで、身近になってきたパスキーについて理解を深めておきましょう。