AndroidスマホやiPhone、Windows 11以降のパソコンなどで利用が可能なパスワードレス認証の手段であるパスキー。容易な設定ながら、高いセキュリティレベルを誇ることから、利用可能なシーンが着実に増加している。この記事では、パスキーの概要、仕組み、設定方法と注意点に加え、FIDO認証との違いについて解説していく。
パスワードに代わる認証方法「パスキー」
パスワードを使わずとも認証が可能となる技術の1つとして知られるパスキー。マルチデバイスに対応し、生体認証を用いて認証を行うことが特徴だ。パスキーを用いることで、パスワードレスのログインが可能となる。そのため、複雑で推測されづらいパスワードを設定することも不要となり、複数のサービスでパスワードを使い回すといった問題への対策ともなり得る。
また、なりすましによるアカウントの不正ログインといったセキュリティリスクを回避でき、安全な利用環境を実現する。ほかにも、正規のサイトに偽装してアカウント情報を詐取するといった行為も未然に防ぐことができることから、フィッシング詐欺の解決手段としても注目されている。
パスキーは、FIDO(ファイド)アライアンスとWeb標準化団体のW3Cが制定した規格である。マイクロソフト社、アップル社、グーグル社など、いわゆる巨大プラットフォーマーが対応し、国内でもNTTドコモ社やKDDI社など多数のサービスでも次々と対応しており、日本国内でも普及し始めている。
なお、NTTドコモ社などではパスワードの代わりに使われる生体認証やパターンなどを用いた認証手段を「パスキー」と呼んでいる。すなわち、認証機構そのものでなく、認証を行う手段を「パスキー」と定義していることになる。例えば、ログインする場合に、「パスキーでログイン」と表示される。そのため、混同しやすく注意が必要だが、この記事内でパスキーという言葉は技術概念として扱う。
パスキーの仕組み
パスキーは認証技術として、公開鍵暗号方式を用いるFIDO2を採用している。また、W3CによるWeb標準の勧告候補ともなっているWebAuthnをサポートしており、こうした技術を用いることでWeb経由でのパスワードレスを実現している。
図1:パスキー認証のプロセス
パスキーでは、図1のようにWebサービスへのアクセス時にFIDOサーバーへ接続する。FIDOサーバーにて、チャレンジと呼ばれる要求をWebサービスへ送付。ユーザーは手元のスマートフォン(以下、スマホ)などのデバイスにて秘密鍵で署名したチャレンジを公開鍵とともにサーバーへ返送する。そのチャレンジをサーバーにて検証し、認証されればサービスへの登録が完了する。すなわち、サーバー側では署名認証のみを行うため、安全性が高まる。
また、このプロセスで用いられる認証情報はパソコンやスマホ内の隔離された実行環境である、TEE(Trusted Execution Environment)やセキュアエレメントなどへサービスごとに保存される。こうすることで、ログイン時には生体認証を使うだけでのログインが可能となる。
加えて、パスキーを用いることでパスワードが不要となるため、パスワードリスト攻撃への耐性がある。Webサイトごとに設定した認証情報を用いるため、公式サイトに偽装したフィッシングサイトではログインができず安全性が高まる。
パスキーとFIDO認証の違い
パスキーは3種類あるFIDO認証のうち、FIDO2を採用している。FIDO認証はパスキーの前身とも言え、FIDO認証のデメリットを補ったものがパスキーとみなせる。
FIDO認証を用いることでも、パスワードレスなログインが可能となる。また、パスキー同様に認証情報が安全な領域に保管されるため、秘密鍵漏えいのリスクが低く、そもそもFIDO2による認証自体が二要素認証となっているため、サービスごとの二段階認証の設定の必要性が下がる。
こうした仕組みにより、フィッシングサイトを用いた認証情報の詐取を難しくしているのだ。しかしその一方で、FIDO認証にも決定的な課題が存在する。認証情報をデバイス内に保管する仕様のため、ログインできるデバイスが制限されることになる。
デジタル全盛時代、複数のデバイスを所有することが一般的となっているが、FIDO認証は複数のデバイスをまたがって利用することができないのだ。このような仕様の場合、デバイスを紛失、あるいは買い替えした際などに不便を極めてしまう。
こうした課題解消のためにパスキーが規格化された。パスキーでは認証情報を複数のデバイス間で同期できる仕組みとなっている。Microsoftアカウント、Apple ID、Googleアカウント、国内ではNTTドコモ社のdアカウントといったアカウントサービスが対応している。例えば、同じApple IDを登録したMacとiPhone、iPadの各デバイスで共通した生体認証を設定することで、それぞれのデバイスで共通のログインが可能となる。
デバイスごとに異なるパスキーの設定方法
パスキーの設定は、基本的にほかのOSの認証やWeb認証などと大きく変わるわけではない。例えば、iPhoneの場合、パスキーの登録はTouchIDもしくはFaceIDといった生体認証をそのまま流用する。以下、各デバイスにおけるアカウントのパスキー作成方法を紹介する。
Android OS搭載デバイス
まず、使用しているデバイスでパスキー設定ページへアクセスする。画面の表示に従い、Google アカウントにログインする。続けて、デバイスを使った認証、指紋認証・顔認証・画面のアンロックなどを進めていく。こうした手順でパスキーを作成できる。
iOS搭載デバイス
iPhoneなどiOS搭載デバイスの場合、FaceIDもしくはTouchIDを用いて、アプリやWebサービスごとにパスキーを作成することになる。iPhoneでパスキーに対応しているWebサイトやアプリで、「新しいアカウントを設定」、もしくは「既存のアカウント名とパスワード」を使ってサインインし、アカウント設定または管理画面に移動。アカウントのパスキーを保存するオプションが表示されたら、「続ける」をタップ。こうした方法でパスキーが保存される。
Windows OS搭載デバイス
Windows 11からパスキーに対応しており、Windowsアカウントのパスキー作成が可能だ。パスキーを作成するには、Webサイトまたはアプリを開きアカウント設定から行う。パスキーの保存は、Windowsデバイスのローカル上(認証はWindows Helloを用いる)、iPhone・iPad(QRコードスキャンを要する)、Androidデバイス(QRコードやアプリのリンクを経由)、セキュリティーキー(FIDO2)が利用可能となる。
NTTドコモ社契約のデバイス
NTTドコモ社で契約されているスマホでは、「いつもパスキー設定(旧パスワードレス設定)」からパスキーの設定が可能だ。パスキーを設定するにはdアカウント設定アプリを使用する。「生体認証または画面ロックで認証」メニューから、「機能説明・ご注意事項」を確認し、「次へ」と進む。デバイスがネットワークの暗証番号を確認、続けて生体認証もしくは画面ロックを使った認証を要求するため、認証をクリアする。画面の指示通りに進めれば設定は完了となる。
いずれも複雑なプロセスを経ることなく、手順に沿って進めれば容易に設定できる。また、いずれの方法も従来のソーシャルログインに近いため、慣れれば問題なく利用できるだろう。
パスキー利用における注意点
利便性と安全性の両立を高いレベルで実現するパスキーだが、注意が必要な点もある。それは、パスキーを設定したアカウントに大きく依存し、制約を受ける場合も生じ得るということだ。具体的にどういった懸念があるのかを以下に解説する。
同一アカウントの利用が前提となる
パスキーは先述のように、Apple IDやMicrosoftアカウント、Googleアカウントに紐づくことになる。そのため、複数のデバイス間で同期して利用する場合、アカウントを横断して利用することはできない。例えば、Microsoftアカウントで保管したパスキーは、Androidデバイスに登録したGoogleアカウントと同期しない。ほかにも、仮にiPhoneからAndroidスマホへ機種変更する場合、パスキーが同期されないため、再設定が必要となる。
パスキー対応のアプリ、Webサービスに限定される
パスキーは現在、普及期にある技術のため、対応しているWebサービス、アプリが限定される。そのため、すべてのサービスにおいてパスワードレスとはならない点に注意が必要だ。
デバイス紛失時に悪用される可能性がある
先述のように、パスキーはデバイス内に保管されるため、デバイスを紛失した際に悪用されるリスクが生じ得る。ただし、認証を生体認証に設定しておけば、そもそも第三者がログインすることも難しくなるため、パスキーを設定する際は顔認証や指紋認証などの生体認証を選択するようにしたい。
繰り返しになるが、パスキーは顔認証や指紋認証などの生体認証を用いることで高いセキュリティレベルを実現する。そして、これら認証の方法は紛失時のリスクも抑制することが可能だ。今後、対応するアプリやWebサービスが増えていけば、安全性と利便性を両立したパスワードレスの認証方法である。アカウントに依存するという課題はつきまとうものの、そうしたデメリットを上回るメリットを享受できる認証方法として、今後の普及が見込まれている。
