パスワードは古い？｢パスキー｣の導入企業が急増 気になる｢セキュリティと利便性｣両立の仕組み

自社サービスに「パスキー」を導入する企業が増えている（写真：jessie/PIXTA）

セキュリティと利便性を両立させるという、パスワードレス認証「パスキー」。近年、グーグルやアップル、マイクロソフトといったアメリカ大手IT企業をはじめ、国内でも自社サービスのログイン方法として導入する企業が増えている。

【画像】導入が広がる「パスキー」、フィッシング攻撃を防ぐログインの仕組みとは？

パスワードに代わる新たなログイン方法として注目されているが、今後はコンシューマーサービスだけでなく、企業内への導入も進むのだろうか。

｢パスワードに代わるログイン方法｣として導入増

パスキーとは、非営利団体のFIDO（Fast IDentity Online、通称ファイド）アライアンスが提唱する、技術仕様「FIDO」に基づく認証方式だ。

生体情報などを使ったシンプルな操作でログインが可能となり、煩わしいパスワードの入力や管理から解放されるだけでなく、フィッシング攻撃も防げるという。いったいどういう仕組みなのか。

FIDOアライアンス執行評議会ボードメンバーとFIDO Japan WG座長を務める、NTTドコモのチーフセキュリティアーキテクトで経営企画部セキュリティイノベーション統括担当の森山光一氏は、「パスキーはパスワードに代わるもの」だと語る。

「パスワードは覚えるのが大変で、フィッシング詐欺のように第三者に盗まれ悪用される問題も絶えない。そこで世界のIT業界の有志が集まり、2012年にFIDOアライアンスを立ち上げ、使い勝手とセキュリティを両立する認証方法の標準化を目指してきた。

その結果、利用が広がり始めているのが、公開鍵暗号方式を活用したパスキーだ。これは、パスワードという短い『テキスト文字列』ではなく、暗号化されたランダムな文字列からなる『ペアの鍵』を使う認証方式となっている」

｢フィッシング攻撃｣を防ぐ仕組みとは？

例えば、ユーザーがスマホの生体認証を使ってあるウェブサービスのログインを行いたい場合、まずはそのサービス提供者にパスキーの登録を要求する。すると、スマホに内蔵されている認証器に「チャレンジ」と呼ばれるコードが送信され、ユーザーは本人確認が求められる。

そこで指紋や顔などの生体情報を使って本人認証を行うと、「秘密鍵」と「公開鍵」というペアの鍵がつくられる。認証器は秘密鍵を使い、先ほど送られてきたチャレンジに署名をして公開鍵とともにサービス提供者に送信する。

サービス提供者は公開鍵で署名付きチャレンジを検証し、問題がなければパスキーの登録を要求したユーザーと公開鍵との関係を記録して、登録完了となる。